FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU DIPLOMSKA NALOGA VISOKOŠOLSKEGA STROKOVNEGA ŠTUDIJSKEGA PROGRAMA PRVE STOPNJE DANILO ŠKEDELJ Digitally signed by Danilo Skedelj Date: 2014.05.21 20:14:42 CEST FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU DIPLOMSKA NALOGA OBVLADOVANJE TVEGANJ V ORGANIZACIJI Mentor: izr. prof. dr. Boris Bukovec Novo mesto, april 2014 Danilo Škedelj IZJAVA O AVTORSTVU Podpisani Danilo Škedelj, študent FIŠ Novo mesto, v skladu z določili statuta FIŠ izjavljam: da sem diplomsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v diplomski nalogi, da dovoljujem objavo diplomske naloge v polnem tekstu, v prostem dostopu, na spletni strani FIŠ oz. v digitalni knjižnici FIŠ, da je diplomska naloga, ki sem jo oddal v elektronski obliki, identična tiskani verziji, da je diplomska naloga lektorirana. V Novem mestu, dne _________________ Podpis avtorja ________________________ POVZETEK Vzpostavljen in učinkovito delujoč proces obvladovanja tveganj organizaciji omogoča, da se le-ta osredotoča na svojo osnovno dejavnost in tako dosega predvideno poslovno uspešnost. Krovno odgovornost za upravljanje nad tveganji v organizaciji prevzema vodstvo podjetja. Uvedba in uporaba IT sistemov v znatni meri prinašata koristi na mnogih področjih poslovanja, vendar istočasno vnašata nova, marsikdaj do sedaj nepoznana tveganja za organizacijo. Analiza tveganj je postopek, v katerem ocenimo verjetnost nastanka tveganj in njihovih posledic ter določimo ukrepe, ki so potrebni za zagotavljanje doseganja ciljev. Vpeljava RFID tehnologij novejše generacije omogoča organizacijam uvajanje čedalje bolj avtomatiziranih poslovnih procesov. Pred uvedbo sistema RFID identifikacije v podjetju X se izvede celovita analiza IT tveganj za izbrani sistem po metodologiji NIST SP 800-30. KLJUČNE BESEDE: organizacija, tveganje, obvladovanje tveganj, informacijska tveganja, RFID tehnologija. ABSTRACT An established and an efficient working process of risk management allows an organization to focus on its basic activity and achieve intended business success. But it is the company's management who is responsible for risk management governance. Introduction and use of IT systems bring a lot of benefits to various business fields, but at the same time also new, sometimes unknown risks for the organization. A risk analyis is a procedure used to evaluate possible occurance of risks and their consequences and to assign actions needed to achieve the goals set. Introduction of RFID technologies of new generation helps organizations to initiate more automatized business processes. Before the introduction of RFID identification system the whole IT risk analysis for the chosen system is carried out by the methodology NIST SP 80030. KEY WORDS: organisation, risk, enterprise risk management, IT risks, RFID technology. KAZALO 1 UVOD................................................................................................................................. 1 2 POSLOVNA USPEŠNOST IN OBVLADOVANJE TVEGANJ ...................................... 3 3 2.1 Organizacija, kakovost in poslovna uspešnost ............................................................ 3 2.2 Organizacija in tveganja .............................................................................................. 6 2.3 Vrste tveganj v organizaciji ......................................................................................... 9 2.4 Obvladovanje tveganj ................................................................................................ 12 2.5 Upravljanje IT tveganj ............................................................................................... 14 2.6 Globalna informacijska infrastruktura ....................................................................... 16 STANDARDI, MODELI IN ORODJA ZA OBVLADOVANJE TVEGANJ V ORGANIZACIJI .......................................................................................................... 17 3.1 Organizacija in standardi ........................................................................................... 17 3.2 Standard ISO/IEC 27005 ........................................................................................... 18 3.2.1 Družina standardov ISO/IEC 27000 .................................................................. 18 3.2.2 Razvoj in verzije standarda ISO/IEC 27005....................................................... 20 3.2.3 Povzetek vsebine standarda ................................................................................ 20 3.2.4 Aktivnosti procesa po ISO 27005 ....................................................................... 21 3.3 Metoda FMEA ........................................................................................................... 24 3.3.1 Korelacija med standardi ISO in metodo FMEA ............................................... 24 3.3.2 Predstavitev metode FMEA ................................................................................ 24 3.3.3 Identificiranje ciljev ............................................................................................ 25 3.3.4 Razdelitev tveganj po sorodnostih ...................................................................... 26 3.3.5 Proces izvedbe FMEA analize ............................................................................ 28 3.3.6 FMEA in obvladovanje tveganj v organizaciji ................................................... 29 3.4 Metoda Risk IT .......................................................................................................... 30 3.4.1 Združenje ISACA ................................................................................................ 30 3.4.2 Lastnosti metode Risk IT .................................................................................... 30 3.4.3 Kategorije, lastnosti in deležniki pri upravljanju IT tveganj ............................. 31 3.4.4 Proces izvedbe metodologije Risk IT ................................................................. 33 3.4.5 Povzetek metode Risk IT .................................................................................... 34 3.5 4 Metoda NIST SP 800-30 ........................................................................................... 34 3.5.1 Izdajatelj publikacije .......................................................................................... 34 3.5.2 Lastnosti metode NIST SP 800-3 ....................................................................... 35 3.5.3 Proces izvedbe metodologije NIST SP 800-30 ................................................... 35 3.5.4 Povzetek metode NIST SP 800-30 ...................................................................... 37 OBVLADOVANJE TVEGANJA NA PRIMERU UVEDBE IT SISTEMA S POMOČJO METODE NIST SP 800-30 .......................................................................... 38 4.1 Organizacije in RFID identifikacija .......................................................................... 38 4.2 Prikaz trenutnega stanja............................................................................................. 38 4.3 Analiza trenutnega stanja .......................................................................................... 40 4.4 Predstavitev karakteristik obravnavanega IT sistema ............................................... 42 4.5 Identifikacija tveganj, groženj in ranljivosti izbranega IT sistema ........................... 44 4.6 Ukrepi za znižanje tveganosti sistema v celotni življenjski dobi .............................. 47 4.7 Plan obvladovanja tveganj......................................................................................... 48 4.8 Tabela analize tveganj ............................................................................................... 55 4.9 Predlogi za izboljšanje............................................................................................... 55 5 ZAKLJUČEK................................................................................................................... 56 6 LITERATURA IN VIRI .................................................................................................. 59 KAZALO SLIK Slika 2.1: Proces upravljanja s tveganji ...................................................................................... 8 Slika 2.2: Vrste tveganj v organizaciji...................................................................................... 11 Slika 3.1: Proces pri upravljanju IT tveganj po ISO/IEC 27005 .............................................. 22 Slika 3.2: Medsebojni odnosi informacija-tveganje-kvaliteta v konceptu upravljanja ............ 29 Slika 3.3: IT tveganja v hierarhiji tveganj organizacije po Risk IT ......................................... 31 Slika 3.4: Načela upravljanja IT tveganj po Risk IT ................................................................ 32 Slika 4.1: Blok shema RFID kartice tehnologije 13,56 MHz ................................................... 42 Slika 4.2 : Blok shema sistema RFID identifikacije................................................................. 45 KAZALO TABEL Tabela 3.1: Verzije standarda ISO/IEC 27005 ......................................................................... 20 Tabela 3.2: PDCA cikel in proces obvladovanja IT tveganj .................................................... 23 Tabela 3.3: Izdaje verzij metodologije NIST SP 800-30.......................................................... 35 Tabela 3.4: Koraki procesa izvedbe metodologije NIST SP 800-30 ........................................ 36 Tabela 4.1: SWOT analiza standardne 125 kHz RFID tehnologije ......................................... 41 Tabela 4.2: Ranljivost, grožnje, tveganja ................................................................................. 46 Tabela 4.3: Ovrednotenje verjetnosti tveganj ........................................................................... 48 Tabela 4.4: Analiza vpliva tveganja ......................................................................................... 51 Tabela 4.5: Ocenitev skupnega tveganja .................................................................................. 52 Tabela 4.6: Priporočila kontrole ............................................................................................... 53 1 UVOD Predmet diplomske naloge je raziskovanje procesov obvladovanja tveganj v sodobni organizaciji. Tveganja so sestavni del aktivnosti v organizaciji oziroma sestavni del poslovanja v vsakem podjetju. Tveganja, ki nastopajo pri poslovanju organizacij, so po naravi zelo dinamična, spremenljiva in visoko medsebojno odvisna. Naloga vsake organizacije je, da tveganja učinkovito upravlja in obvladuje. Dejstvo je, da se organizacijskim in poslovnim tveganjem zaradi nepredvidljivega okolja, sprememb na trgih, hitrih sprememb v industriji in tehnologijah, sprememb v poslovni kulturi in navsezadnje zaradi globalne konkurence na trgih dandanes ne moremo v celoti izogniti. Lahko pa se upravljanja s tveganji lotimo sistematično in na podlagi pravih in pravočasnih informacij in s tem povezanih aktivnosti tveganja obvladujemo v predhodno definiranih okvirih. To nas največkrat privede do tega, da si postavimo za cilj vpeljavo sistematičnega upravljanja s tveganji v organizaciji in tako zmanjšujemo nepredvidljivosti poslovnega okolja in povečujemo zanesljivost uresničevanja postavljene poslovne strategije. V nalogi je zajet pregled nad obvladovanjem posameznih vrst tveganj, ki so jim organizacije izpostavljene. Glede obravnave posameznih tveganj je v nalogi poudarek na podrobnejši obravnavi upravljanja z IT tveganji v organizaciji. V zadnjem desetletju se je na področju upravljanja tveganj razvilo veliko orodij, modelov in metodologij, namenjenih uporabi v vseh vrstah organizacij in za vsa področja obvladovanja tveganj. Skladno z razvojem informacijskih tehnologij in naraščanjem njihovega pomena za sodobno organizacijo so se razvili in oblikovali tudi standardi in različne metodologije, ki posebej natančno zadevajo problematiko upravljanja informacijskih (IT) tveganj. Na osnovi teoretičnih spoznanj sem v nalogi opisal problematiko obvladovanja tveganj v organizaciji. Prikazal in medsebojno sem primerjal najpogostejše standarde, metode in orodja, ki se uporabljajo pri postopkih obvladovanja tveganj, s poudarkom na IT tveganjih. Informacijska tehnologija (IT) danes predstavlja gonilno silo sodobne organizacije na njeni 1 poti v družbo znanja in zato se namenja velika pozornost pravilnemu in neprekinjenemu delovanju IT sistemov in procesom. Diplomska naloga predstavlja poskus, kako na primeru IT sistema, pred njegovo vpeljavo v produkcijsko okolje, čim bolje celostno zajeti vprašanja obvladovanja IT tveganj. IT sistem sem izbral iz danes aktualnega področja RFID identifikacije in predvidel vpeljavo v IT okolje podjetja X. Konkretno sem izbral vpeljavo sistema RFID identifikacije, ki podpira upravljanje danes aktualne RFID tehnologije brezkontaktnih pametnih kartic v organizaciji X. Diplomska naloga lahko kot osnova koristi tudi ostalim organizacijam, ki se pri svojem delu srečujejo z obvladovanjem IT tveganj in načrtujejo vpeljavo ustrezne metodologije za upravljanje teh tveganj. V teoretičnem delu naloge sem na podlagi analitično-teoretičnega študija strokovne literature, člankov, internetnih virov, objav in publikacij opredelil relacije med poslovno uspešnostjo in obvladovanjem tveganj v organizaciji. Na osnovi teoretičnih spoznanj domače in tuje literature sem opredelil vlogo obvladovanja tveganj v organizaciji, razdelitev in vrste tveganj ter njihovo obladovanje. V nadaljevanju naloge sem predstavil ažurne standarde, ki opredeljujejo področje obvladovanja tveganj ter metode in orodja, s katerimi se danes rešuje vprašanje obvladovanja IT tveganj. V drugem delu naloge sem na podlagi izbrane metodologije NIST SP 800-30 izvedel proces postopka obvladovanja tveganj v IT sistemu za RFID identifikacijo v podjetju X. Na koncu naloge sem podal še predloge za izboljšanje stanja na področju obvladovanja tveganj v organizaciji. Pričakovani rezultat diplomske naloge je izvedba celostnega postopka za obvladovanje IT tveganj za izbrani IT sistem RFID identifikacije po metodologiji NIST SP 800-30. Izvedeni postopek obvladovanja IT tveganj se bo lahko kot osnovo uporabilo tudi v ostalih IT sistemih v organizaciji. Ustrezno urejeno področje obvladovanja IT tveganj v podjetju povečuje njegovo konkurenčnost, zmanjšuje ranljivost in omogoča doseganje zastavljenih strateških ciljev. 2 Prvo poglavje v diplomski nalogi, ki je uvodno, predstavi opredeljeno problematiko in namen proučevanja. Sledi opredelitev ciljev, pričakovanih rezultatov in izbrane metodologije za izvedbo naloge. V drugem poglavju je predstavljena poslovna uspešnost organizacije, tveganja, ki jim je le-ta izpostavljena in s tem povezano področje obvladovanja tveganj. Sledita točki, ki obravnavata upravljanje IT tveganj in pomen globalne informacijske infrastrukture. Tretje poglavje je namenjeno standardom, modelom in orodjem za obvladovanje tveganj v organizaciji. V njem sta opisana razvoj in vsebina mednarodnega standarda ISO/IEC 27005, ki podaja smernice na področju upravljanja informacijske varnosti. V nadaljevanju poglavja so predstavljene tri uveljavljene in pogosto uporabljene metode, s katerimi organizacije obvladujejo svoja tveganja. Predstavljene so metode FMEA, RiskIT in NIST SP 800-30. Četrto poglavje predstavlja osrednje poglavje diplomske naloge, v katerem je s pomočjo izbrane metode NIST SP 800-30 predstavljeno obvladovanje IT tveganj na primeru IT sistema, ki se uvaja v organizacijo. V petem poglavju, ki je zaključno poglavje diplomske naloge, so podani sklepi glede obravnavane tematike ter zbrani predlogi za izboljšanje obvladovanja tveganj v organizaciji. 2 2.1 POSLOVNA USPEŠNOST IN OBVLADOVANJE TVEGANJ Organizacija, kakovost in poslovna uspešnost V okviru organskega, tako imenovanega živega pogleda na organizacijo, lahko termin organizacija opredelimo kot vsako človeško združevanje z namenom, da bi se dosegli skupni cilji. Če gledamo na organizacijo s tehnološkega zornega kota, pa je organizacija podobna mehanizmu – ima splošne značilnosti popolnega stroja. V nadaljevanju se bomo omejili na organizacijo predvsem kot na konkretno gospodarsko organizacijo oziroma podjetje, ki je ustanovljeno za uresničevanje postavljenih primarnih in sekundarnih ciljev. Kot primarni cilj 3 organizacije štejemo dolgoročno doseganje dobička, medtem ko so sekundarni cilji uravnoteženo izpeljani iz primarnih (ohranitev podjetja, varna naložba za investitorje, razvoj podjetja, zadovoljevanje potreb družbe, obveznosti podjetja do okolja, urejanje področja človeških virov, odnos do ekoloških vprašanj …). Avtorja Kovačič in Bosilj Vukšić podajata glede na izsledke Porterja naslednjo definicijo organizacije: »Vsaka organizacija je pravzaprav zbirka ali zaporedje aktivnosti, namenjenih snovanju in razvijanju, proizvajanju, nudenju in prodajanju, dostavljanju in vzdrževanju njenih izdelkov ali storitev« (Kovačič in Bosilj Vukšić 2005, str. 30). Vsaka organizacija mora jasno definirati svojo organizacijsko strategijo, ki je sinonim za strateško načrtovanje ali strateški management. Poslovna strategija izhaja iz poslanstva, vizije in strateških ciljev podjetja. Upošteva strategije posameznih poslovnih področij (poslovnih funkcij ali poslovnih procesov) in je opredeljena v strateškem poslovnem načrtu. Lahko zaključimo, da sta razvijanje in spremljanje oziroma prilagajanje poslovne strategije trajni in najpomembnejši nalogi vodstva podjetja. Poslovna strategija opredeljuje delovanje podjetja v poslovnem okolju in posledično vpliva na njegovo konkurenčnost. Spremembe poslovne strategije organizacije se udejanjajo in kažejo skozi spremembe njenega poslovnega modela in poslovnih procesov (Kovačič in Bosilj Vukšić 2005, str. 17). Poslovni model organizacije lahko opredelimo kot model delovanja v okolju, kjer le-ta deluje. Pri tem pa pod okoljem zajamemo vse, kar vpliva na značilnosti poslovnih procesov podjetja, kot so na primer odnosi s kupci, dobavitelji ali podizvajalci. Poslovni model je izhodišče za postavitev poslovne arhitekture organizacije in predstavlja nadgradnjo in realizacijo predhodno postavljene poslovne vizije in strategije (Kovačič in Bosilj Vukšić 2005, str. 17– 22). Na nek poslovni proces v organizaciji lahko gledamo kot na skupek logično povezanih operativnih postopkov, nadzornih postopkov in aktivnosti, katerih posledica oziroma izid je načrtovani izdelek ali storitev, ki jo nudi organizacija svojim odjemalcem na trgu. V strokovni literaturi najdemo naslednjo definicijo poslovnega procesa: »Poslovni proces lahko opredelimo tudi kot povezan nabor dejavnosti in nalog, ki imajo namen vhodnim elementom v proces za naročnika ali kupca dodati uporabno vrednost na izhodni strani procesa. Proces ni prepoznaven le po aktivnostih, ki jih opravljajo njegovi izvajalci, pač pa predvsem po 4 zaporedju dejavnosti in opravil, ki jih je potrebno izvesti, da bi na izhodni strani procesa dobili predvidene rezultate« (Kovačič in Bosilj Vukšić 2005, str. 29). Da organizacija dosega svoj osnovni cilj, to je dolgoročno doseganje dobička, se mora glede na spreminjajoče se zahteve tržišča prilagajati preko stalnih sprememb s poudarkom na obvladovanju in zagotavljanju kakovosti, ki organizaciji omogočata napredovanje in rast. Zahteve glede kakovosti izdelkov in storitev, ki jih ponuja organizacija, postavlja kupec oziroma tržišče. Same zahteve glede kakovosti izdelkov in storitev so lahko v splošnem zapisane (zakonodajne zahteve, registracijske zahteve, licence, patenti …) ali pa pričakovane (prilagoditev zahtev kupcev, pogodbe, standardi …). Organizacije pogosto zapišejo svojo obvezo do kakovosti v predstavitvi podjetja, ki jo sestavljajo načela vizije, poslanstva, strategije in vrednot. V splošnem je kakovost skupek značilnosti in značilnih vrednosti nekega izdelka ali storitve glede na njegovo primernost in izpolnjevanje točno določenih in predpostavljenih zahtev. Crosby povzema, da je kakovost primernost za uporabo, medtem ko standard ISO navaja kakovost kot skupek značilnosti objekta, ki se nanašajo na njegovo sposobnost, da zadovolji izražene in pričakovane potrebe (Šostar 2000, str. 7–9). V skladu z razvojem modelov poslovanja organizacij se je razvijal in spreminjal tudi pristop k obvladovanju kakovosti izdelkov in storitev. Obvladovanje kakovosti se je časovno razvijalo po naslednjih stopnjah: nadzor kakovosti, statistično obvladovanje kakovosti in celovito obvladovanje kakovosti (Šostar 2000, str. 4). Pojmovanje kakovosti je bilo pri začetnih stopnjah razvoja obvladovanja kakovosti usmerjeno zgolj v nadzor kakovosti samih izdelkov. Za kakovost je bila zadolžena za to pristojna služba v okviru proizvodnih procesov. S takšno organiziranostjo se je kakovost zgolj preverjalo, če ustreza npr. predpisanim zahtevam in tehničnim standardom. Kakovosti izdelkov se ni moglo izboljševati, niti se ni moglo poiskati vzrokov težav ali ponuditi rešitve za izboljšanje. Predvsem s pomočjo podpore in vključitve statističnih metod in tehnik se je razvilo statistično obvladovanje kakovosti. Začelo se je uvajanje postopkov vzorčevanja, ki je podalo sliko za celoten proces ali serijo izdelkov. Sčasoma se je podpora statističnih metod uveljavila na celotnem področju kakovosti, v celotni razvojni, produkcijski in življenjski fazi izdelka. Razvoj organizacije in zahteve po čedalje večjem obvladovanju kakovosti so privedle do tega, 5 da se je področje obvladovanja kakovosti iz obravnave v zgolj proizvodnem procesu razširilo na vse faze poslovnega procesa, in sicer od začetnih tržnih raziskav do poprodajnih aktivnosti. Obvladovanje kakovosti ne postane zgolj domena tehničnih specialistov v proizvodnem procesu, ampak obsega vse poslovne funkcije organizacije in predstavlja rezultat dela vseh njenih zaposlenih. Celovito obvladovanje kakovosti lahko označimo za miselno revolucijo pri vodenju organizacije. Takšno vodenje organizacije postavlja na prvo mesto kakovost, dobiček pa kot dolgoročni cilj (Šostar 2000, str. 4). Razvoj na področju obvladovanja kakovosti se znotraj organizacije razvija v smeri uvajanja celovitega upravljanja kakovosti (TQM), ki vključuje širok nabor zaposlenih iz različnih poslovnih funkcij. Smernice razvoja glede zagotavljanja in obvladovanja kakovosti kažejo v smeri naraščajočega uvajanja in certificiranja različnih sistemov kakovosti. Organizacija mora postaviti svoj sistem kakovosti, ki predstavlja skupek povezanih aktivnosti, izvajanja navodil (postopki, standardi, dobre prakse …) in kontrol kakovosti. Tako vzpostavljen sistem TQM omogoča organizaciji, da na trgu stalno nudi želeno kakovost izdelkov ali storitev. Poleg aktivnega sodelovanja vseh zaposlenih pa današnje gledanje na kakovost vključuje še osredotočenost na kupca, na usposabljanje zaposlenih skozi celotno delovno obdobje, inovativno razmišljanje in vključitev stalnih izboljšav. 2.2 Organizacija in tveganja Kot smo zaključili v predhodnem poglavju, se poslovna strategija organizacije spreminja, kar posledično pomeni, da se s tem spreminjajo že obstoječa tveganja in se hkrati vnašajo v delo organizacije nova tveganja. Ker so določevanje, spremljanje in spreminjanje poslovne strategije permanentne naloge vodstva podjetja, je s tem povezano obvladovanje tveganj enako stalna naloga na najvišjem nivoju organizacije. Procesi internacionalizacije in globalizacije so konkurenčni boj med organizacijami še povečali. Omenjeni procesi za organizacije ne pomenijo samo zaostrovanja na področju konkurenčnosti, pomenijo tudi zahtevo po iskanju in uporabi orodij ter metod za zavarovanje pred morebitnimi predvidljivimi in nepredvidljivimi krizami ter tveganimi dogodki v notranjem in zunanjem poslovnem okolju. Ta tveganja se označi kot poslovna tveganja organizacije (Bertoncelj in drugi 2011, str. 90). 6 Sodobne organizacij kljub razviti IT tehnologiji in podatkom, ki so jim na voljo, ne morejo z gotovostjo predvideti sprememb v prihodnosti. Organizacije se v vseh fazah življenjskega cikla, od nastanka, utrjevanja, rasti, preživetja in zatona, srečujejo z različnimi oblikami tveganj in različnimi vrstami kriz. To je eden temeljnih problemov in glavni razlog, da v organizacijah skušajo načrtno obvladovati poslovna tveganja (Bertoncelj in drugi 2011, str. 91). Še posebno pomembno je področje učinkovitega upravljanja s tveganji za mednarodno (multinacionalno) delujoče organizacije, ki poslujejo v zaostrenem globalnem okolju, ki ga vsakodnevno pretresajo različni dogodki v notranjem in zunanjem okolju. Dogodki, kot so na primer selitev proizvodnje in storitev, zaostrovanje konkurence na trgih, zasičenost trgov, zrelost panog, izbruh vojn, pojav različnih stavk, finančni in borzni zlomi, naravne katastrofe, zviševanje cen surovin in energentov, pojav in uvedba novih tehnologij, nujno zahtevajo od organizacij spremembe pri njihovem upravljanju. Organizacije se v boju za pridobitev čim večjih tržnih deležov, izboljšanje svojega konkurenčnega položaja in posledično povečanje dobička nenehno soočajo z dilemo, kolikšna poslovna tveganja so še pripravljene sprejeti (Bertoncelj in drugi 2011, str. 92). Tveganje lahko v splošnem opredelimo kot negotovost nastanka dogodka, ki lahko negativno ali pozitivno vpliva na doseganje strateških, operativnih in finančnih ciljev organizacije. V primeru uresničitve dogodkov, ki povzročijo negativen vpliv na delovanje organizacije, se lahko takšna tveganja pokažejo kot povečanje stroškov, podaljševanje rokov izvedbe, neustrezna kakovost izdelkov in storitev, izguba ključnih trgov ali kupcev, izguba ključnih kadrov in podobno. Vidimo, da tveganja vplivajo na veliko področij delovanja organizacije in zato zahtevajo pozorno obravnavo znotraj vsake organizacije. Upravljanje s tveganji se ne nanaša samo na skladnost z veljavnimi predpisi in standardi, temveč tudi na način razumevanja poslovanja posamezne organizacije, kar ima dolgoročen vpliv nanjo. Organizacija lahko v določenem tveganju prepozna tudi svojo priložnost za zagotovitev konkurenčne prednosti. Glede upravljanja s tveganji mora vzpostaviti in uporabljati sebi lastni proces, s katerim bo stalno in v zadanih okvirih upravljala s tveganji. Na sliki 2.1 je prikazan proces upravljanja tveganj kot kontinuiran cikel štirih stalnih aktivnosti. 7 Slika 2.1: Proces upravljanja s tveganji Pregledovanje in poročanje Opredelitev tveganj Proces upravljanja s tveganji Odzivanja na tveganja Ocenjevanje tveganj Vir: Škedelj, lastni prikaz (2014) V aktivnostih za opredelitev tveganj mora vodstvo organizacije najprej na najvišjem nivoju opredeliti ustrezno politiko glede tveganj, organizacijsko strukturo in kadre, slabosti ter potrebne izboljšave poslovnih procesov in poročanja. Tako analizo imenujemo strateška analiza tveganj in predstavlja osnovo za oblikovanje ustrezne strategije za obvladovanje tveganj na vseh ravneh organizacije. Ko imamo tveganja opredeljena, sledi njihova ocenitev, kjer je končni cilj razporeditev tveganj glede na velikostni okvir, ki ga posamezno tveganje povzroča. V tem koraku organizacija določi, katera tveganja so zanjo kritična in jih s potrebnimi ukrepi želi obvladovati oziroma zmanjšati. Te ukrepe se določi v koraku odzivanja na tveganja. Zadnji korak je namenjen pregledovanju vseh izvedenih aktivnosti in njihovih posledic. Istočasno v tem koraku obveščamo vse deležnike, ki so vključeni v proces. Z uvedbo in uporabo načrtnega obvladovanja poslovnih tveganj lahko organizacije zmanjšajo stroške poslovanja, ker učinkoviteje načrtujejo, organizirajo, nadzirajo, informirajo in odločajo o poslovnih funkcijah organizacije, ki so del celotnega poslovnega procesa. S takim ravnanjem organizacije tudi pomembno zmanjšajo možnost za nastanek poslovne krize. Organizacije bodo obdržale svoj konkurenčni položaj in se tako ohranile na trgu, če bodo poleg upoštevanja osnovnih načel sodobnega poslovanja znale tudi uspešno uporabljati inštrumente načrtnega obvladovanja predvidljivih in nepredvidljivih poslovnih tveganj, ki so odsev nastalih globalnih razmer (Bertoncelj in drugi 2011, str. 90). 8 Ob uspešnem izvajanju procesa upravljanja tveganj lahko organizacija doseže konkurenčne prednosti, ki se kažejo kot hitrejše in lažje odločanje vodstva, manjša je možnost nastanka nepredvidljivih dogodkov in s tem povezanimi stroški, hitrejše in učinkovitejše je ukrepanje v primeru predvidljivih ali nepredvidljivih dogodkov. Prednost je tudi v tem, da organizacija pridobi večjo sledljivost in pozornost, namenjeno ukrepom in akcijam za obvladovanje in zmanjševanje tveganj. Na ta račun lahko postavimo pogoje za možnost prevzemanja večjega tveganja za boljše rezultate oziroma poslovni rezultat. V kolikor uspe organizacija obvladovanje tveganj povezati z vzpostavljeno organizacijsko kulturo, pa lahko računa na uspešnejše izvajanje pobud za izboljšave s strani svojih zaposlenih in boljšo vpetost v timsko delo ter izboljšanje informiranosti pri prevzemanju tveganj in odločanju. Avtorji, ki raziskujejo to področje, povzemajo: »Z načrtnim obvladovanjem poslovnih tveganj organizacija oblikuje učinkovit nadzorni in varovalni sistem, ki jo obvaruje pred nevarnimi učinki notranjega in zunanjega poslovnega okolja« (Bertoncelj in drugi 2011, str. 91). Družbenoekonomski trendi kažejo, da se bodo poslovna tveganja v notranjem in zunanjem okolju, zlasti pa v mednarodnem poslovanju, s časom še povečevala, zato je poslovno smiselno, da se organizacije odločijo za dosledno uporabo procesa načrtnega obvladovanja tveganj. 2.3 Vrste tveganj v organizaciji V strokovni literaturi, ki obravnava področje upravljanja tveganj v organizaciji, srečamo kot najbolj osnovno delitev tveganj na zunanja in notranja tveganja. Zunanja tveganja so tveganja zaradi specifike okolja, v katerem se nahaja organizacija. Zunanje okolje predstavlja vse deležnike, ki vplivajo na organizacijo pri njenem delovanju (Berk in drugi 2005, str. 181). Nekatera izmed pomembnejših zunanjih tveganj so (Bertoncelj in drugi 2011, str. 95): - Tveganja kot posledica naravnega okolja (vremenski dejavniki, naravne katastrofe), - Tveganja zaradi pravnega in regulatornega okolja (spremembe zakonodaje, predpisov, pogodbena tveganja, lastniška tveganja, kraje), - Tveganja zaradi družbenega okolja (politični dejavniki, nasprotovanje javnosti, civilne iniciative, kulturne razlike), - Tveganja zaradi ekonomskega okolja (stabilnost gospodarstva v okviru širše regije ali države, stabilnost poslovnega področja), 9 - Tehnološka tveganja (uporaba novih tehnologij in tehnik, zastarelost ali neprimernost obstoječih tehnologij), - Tveganja zaradi dobaviteljev (zakasnitve v dobavni verigi, cena dobavljenih surovin ali elementov, neprimerna kakovost dobavljenih surovin ali elementov), - Tržna tveganja (slabo sodelovanje s končnimi odjemalci, spremembe zahtev s strani kupcev, nezadovoljstvo kupcev z izdelkom ali storitvijo v okviru celotne življenjske dobe izdelka). Notranja tveganja pa se generirajo preko vseh deležnikov v okviru same organizacije. Nekatera pomembnejša notranja tveganja za organizacijo predstavljajo (Bertoncelj in drugi 2011, str. 96): - Proizvodna tveganja (neustrezna kvaliteta izdelkov ali storitev, neučinkovita kontrola kakovosti, izpad proizvodnje, slabo povezane aktivnosti v proizvodnem procesu), - Tveganja, povezana z upravljanjem človeških virov (izguba ključnih vodstvenih ali razvojnih kadrov, pomanjkljivo izobraževanje zaposlenih, prešibka pripadnost zaposlenih), - Tveganja zaradi uvedbe novih projektov (negotov razvoj novih izdelkov ali tehnologij, neuspešno ali nepravočasno dokončanje projektov), - Informacijska tveganja (uporaba nepopolnih informacij, slab pretok informacij znotraj ustroja organizacije). Tveganja, ki učinkujejo na organizacijo, lahko prikažemo tudi na osnovi združevanja tveganj v posamezne skupine, ki imajo nek celosten vpliv na organizacijo. V literaturi ni enotnih meril za takšno klasifikacijo, saj tudi v realnosti ne vplivajo vsa tveganja v enaki meri na posamezno organizacijo oziroma jim organizacije glede na svoje delovanje ne pripisujejo enakega pomena. Primer klasifikacije tveganj na posamezne skupine, ki vplivajo na organizacijo, je prikazan na sliki 2.2. 10 Slika 2.2: Vrste tveganj v organizaciji Tveganja Strateška tveganja - Ekonomska tveganja - Industrijska tveganja - Transakcijska tveganja - Socialna tveganja - Tehnološka tveganja - Politična tveganja - Organizacijska tveganja - IT tveganja Operativna tveganja Regulatorna tveganja - Okoljska tveganja - Pravna tveganja - Finančna tveganja - Zakoni in predpisi - Tveganja neprekinjenega delovanja - Tveganja kontrol in inšpekcij - Komercialna tveganja - Projektna tveganja - Patenti, licence - Tveganja upravljanja s človeškimi viri - Tveganja zdravja in varnosti pri deluž - Lastniška tveganja - Tveganja izgube ugleda - Varnostna tveganja - Vir: prirejeno po Epstein in Rejc Buhovac (2006, str. 8) Za strateška tveganja je skupno, da neposredno vplivajo na sposobnost doseganja strateških ciljev organizacije. Operativna tveganja predstavljajo riziko za doseganje predpisanih operativnih, delovnih postopkov, kar lahko povzroči npr. zastoj v delu organizacije. Regulatorna tveganja pa različna tveganja s strani zakonodaje in različnih vrst regulativ. IT tveganja so del poslovnih tveganj oziroma strateških tveganj, ker zaradi svoje razvejanosti možnih vplivov na poslovanje celotne organizacije in možnih posledic ne predstavljajo zgolj operativnih tveganj. Razlog za takšno opredelitev je v dejstvu, da so IT procesi dandanes vključeni v vsako poslovno funkcijo v podjetju in je njihovo nemoteno delovanje ključno za doseganje postavljenih ciljev podjetja. Iz tega lahko potegnemo sklep, da je potrebno IT tveganja obravnavati kot poslovna oz. strateška tveganja organizacije. Upravljanje IT tveganj mora biti skladno s potrebami, usmeritvami in okoljem, v katerem organizacija deluje. 11 2.4 Obvladovanje tveganj Kot smo zaključili v predhodnem poglavju, organizacija ni izolirana celota, ampak je vpeta v notranje in zunanje okolje, ki se zaradi množice raznih vzrokov stalno spreminja. Te aktivnosti okolja pa delujejo na organizacijo kot različne vrste tveganj. Naloga organizacije je, da se spoprime s temi tveganji in jih obvladuje z aktivnostjo, ki jo imenujemo proces obvladanja tveganj. Poslovna tveganja zajemajo širok spekter različnih dejavnikov tveganj, ki so nevarni za poslovanje organizacije in izhajajo tako iz notranjega kot iz zunanjega okolja organizacije. Načrtno obvladovanje tveganj (angl. Risk management) je načrt korakov, ki so potrebni za zmanjšanje možnosti nastanka tveganja in s tem posledičnih gospodarskih škod (Bertoncelj in drugi 2011, str. 93). Proces obvladovanja tveganj ni enkratno ali začasno dejanje znotraj organizacije ali njenega dela, ampak je ponavljajoč proces, ki je neomejen. V takšno definicijo nas postavlja poslovno okolje, ki se neprestano spreminja, nove grožnje in ranljivosti, ki se lahko pojavljajo v vsakodnevnem obsegu. V organizaciji z vzpostavitvijo načrtnega obvladovanja tveganj kvalitativno in kvantitativno izmerimo poslovna tveganja v notranjem in zunanjem okolju. Sledi analiza, katera tveganja je racionalno zavarovati ali prenesti na druge nosilce po vrstah ali skupinah. Uvedba sistema načrtnega obvladovanja tveganj vodi do nižjih stroškov, boljšega postopka nadzora celotnega poslovnega procesa in sledenja zastavljeni poslovni strategiji (Bertoncelj in drugi 2011, str. 92). Proces obvladovanja tveganj v organizaciji zajema naslednje temeljne aktivnosti (Bertoncelj in drugi 2011, str. 93): - Določitev tveganj: Za prepoznavo potencialnih tveganj se izdela seznam tveganj, tako da se v organizaciji pregleda vsa njena področja delovanja. Sistematično se analizira celoten proces, na vseh ravneh delovanja. Cilj je poiskati najpomembnejša tveganja. 12 - Ocenjevanje tveganj: Za vsako prepoznano tveganje je potrebna izvedba njegovega ovrednotenja, ki zajema oceno verjetnosti povzročitve škode in posledičnih gospodarskih posledic. - Postavitev ciljev: Organizacija si glede na postavljene poslovne cilje prilagodi cilje načrtnega obvladovanja tveganj, kar pomeni, da določi želeno raven varnosti po posameznih področjih delovanja. Tveganja se ovrednoti glede na razmerje med stroški in koristjo. - Plan ukrepov: Določijo se potrebni ukrepi za zmanjševanje tveganj in stroški, ki so povezani s tem. V tem koraku se poiščejo tudi morebitne alternative glede ukrepov. - Odločanje: V kolikor je odločitev sprejetje tveganj, lahko k temu pristopimo pasivno, torej tveganja enostavno sprejmemo, ali pa k njim pristopimo aktivno in izvedemo plan, ki je pripravljen za ukrepanje v primeru uresničitve. Pri zmanjševanju tveganj z izogibanjem delujemo na odstranitev vzroka, ki povzroča tveganja, vendar se pogosto srečamo z dilemo, kolikšni stroški nastanejo za organizacijo za odstranitev tveganja. Nekaterim tveganjem se organizacija enostavno ne more izogniti ali pa so stroški za njihovo odstranitev pogosto previsoki. Zelo pogost ukrep zmanjševanja tveganj je znižanje verjetnosti dogodka ali pa ublažitev posledic, če že pride do same uresničitve tveganj. Pri takšnem načinu ukrepanja organizacija izvede dodatne aktivnosti na področju planiranja in ukrepanja, investira v boljšo opremo in tehnologijo, poišče pomoč zunanjih strokovnjakov za posamezna področja, se zateče k uporabi preizkušenih postopkov in dobrih praks, se odloči za zavarovanja ali pa se odloči za prenos tveganj na druge deležnike preko pogodb. Vodstvo podjetja kot odgovorni dejavnik za upravljanje s tveganji mora zagotoviti pogoje za dobro pripravo planov, vključiti zaposlene v njihovo pripravo in poskrbeti za dobro komuniciranje med vsemi ravnmi znotraj organizacije. Obvladovanje tveganj je pomembno tudi pri načrtovanju, vodenju in izvedbi enkratnih, neponovljivih dogodkov v organizaciji. Tu so mišljeni predvsem projekti na različnih ravneh in s tem povezano projektno vodenje v organizaciji. 13 Pri zagotavljanju funkcije nadzora tveganj in ukrepanju v primeru njihove pojavitve je za organizacijo ključno izvajanje kontinuiranega procesa spremljanja tveganj ter pravočasno in učinkovito ukrepanje ob pojavitvi tveganj. Zaradi obsežnosti področja upravljanja s tveganji je v organizaciji smiselna vključitev spremljanja in dokumentiranja tega področja v informacijski sistem. Pričakuje se, da se struktura in velikost organizacije s časom spreminjata, prav tako se spreminja proces upravljanja s tveganji, ki mora skupaj z ostalimi procesi zagotavljanja IT varnosti slediti strateškim in poslovnim potrebam organizacije. 2.5 Upravljanje IT tveganj Informacijsko varnost lahko v splošnem opredelimo kot varstvo informacij in informacijskih sistemov pred nepooblaščenim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali uničenjem, in to ne glede na obliko zapisa informacije. Bistvo mehanizmov zaščite informacijske varnosti na različnih nivojih (fizični, osebni in organizacijski nivo) je, da akterjem, ki imajo posamezne vloge na sistemih, pove, kako uporabljati IT sisteme, da se zagotovi informacijska varnost v okviru organizacije (Andress 2011, str. 21). Dostop do zaščitenih informacij v organizaciji mora biti omejen na zaposlene, ki imajo pooblastilo za dostop do teh informacij. Ker so informacije v veliki večini hranjene na IT strojni in programski opremi, mora ravno tako tudi vsa informacijska infrastruktura imeti vzpostavljene mehanizme za kontroliran dostop do zaščitenih informacij. Dovršenost in restriktivnost mehanizmov za nadzor dostopa do informacijskih sistemov in informacij morata biti enakovredni vrednosti zaščitene informacije – bolj občutljiva oziroma pomembna kot je informacija, ostrejši morajo biti mehanizmi nadzora. Izvedba identifikacije in avtorizacije za dostop do informacij in informacijskih storitev se začne pri administrativnih politikah in postopkih. Varnostna politika na nivoju organizacije predpisuje, katere informacije in informacijske storitve so lahko dostopne, s strani koga in pod katerimi pogoji. Vsi nadaljnji mehanizmi za nadzirani dostop in njihova vzpostavitev ter kontrola so nato oblikovani za uveljavljanje te predpisane politike. Varnostna politika in drugi varnostni nadzori morajo biti podprti s strani vodstva organizacije, da se doseže zahtevana učinkovitost. 14 Vrednost vsake informacije izvira iz treh glavnih lastnosti ali kvalitet: zaupnost (ang. confidentiality), celovitost (ang. integrity) in razpoložljivosti (ang. availability) (Andress 2011, str. 25). Princip zaupnosti lahko opredelimo kot zagotovilo zaščite zaupnih informacij pred nepooblaščenim slučajnim ali namernim odkritjem in kot zagotovilo, da so informacije posredovane naprej zgolj akterjem (oseba, institucija, sistem …), ki so pooblaščeni za dostop do teh informacij. Celovitost v okviru IT varnosti pomeni, da informacije in podatki ne smejo biti ustvarjeni, spremenjeni ali uničeni brez predhodne avtorizacije. Izguba nad celovitostjo podatkov je tipičen primer za incidente v zvezi s nenamernim ali zlonamernim izbrisom podatkovnih datotek. Princip IT razpoložljivosti pomeni, da IT sistem varno obdela informacije z vsemi potrebnimi in zahtevanimi kontrolami, da so informacije razpoložljive in pravilno delujoče, ko je to potrebno. IT tveganje opredelimo kot verjetnost, da se v poslovnem okolju zgodi nekaj slabega, kar povzroči škodo na informacijski pridobitvi ali pa lahko povzroči izgubo te informacijske pridobitve. Ranljivost opredelimo kot šibkost IT sistema ali procesa, ki lahko ogrozi ali povzroči škodo na informacijski pridobitvi. Grožnjo opredelimo kot nekaj, kar ima potencial za povzročitev škode. Če skupaj povzamemo zgoraj navedene termine: tveganje, ranljivost, grožnjo, lahko definiramo, da tveganje ustvarja verjetnost, da bo grožnja izrabila ranljivost IT sistema ali procesa za povzročitev škode. Posledice nastopijo, ko se verjetnost uresniči in grožnja izrabi ranljivost ter povzroči škodo. V kontekstu informacijskih tveganj je takšna neželena posledica izguba načrtovane razpoložljivosti, celovitosti ter zaupnosti informacijske pridobitve oz. sistema, izven informacijskih okvirov pa se lahko taka posledica kaže kot izguba dobička, izguba lastninske pravice, škodljiv vpliv na ljudi, okolje in podobno. 15 Upravljanje z IT tveganji v organizaciji predstavlja zelo širok proces, ki izhaja iz dejstva, da so informatika in informacijski sistemi zelo široko in tesno vpeti v vse poslovne funkcije in delovanje sodobne organizacije. IT tveganja ublažimo z vključitvijo različnih tipov kontrol. Upravne kontrole ali proceduralne kontrole vsebujejo priznane in potrjene politike, postopke, standarde, smernice, preglede, revizije in dobre prakse. Logične kontrole ali tehnične kontrole uporabljajo IT programsko opremo in podatke za nadzor in kontrolo dostopa do informacijskih sistemov. Na nivoju organizacije se določi politiko, ki podrobno definira npr. politiko gesel, definiranje računalniških omrežij in njihovo dostopnost, enkripcijo podatkov, varno shranjevanje podatkov in podobno na nivoju celotne organizacije. Fizične kontrole nadzirajo in kontrolirajo delovna mesta in strojno opremo, kjer poteka izvedba informacijskih pridobitev. Sem se vključujejo različni sistemi, ki preprečujejo ali opozarjajo neavtoriziran dostop do informacijskih sistemov oziroma onemogočajo povzročitev različnih škod v okoljih, kjer delujejo IT sistemi. IT sistemi na mnogih področjih poslovanja organizacije prinašajo tako koristi kot tudi s tem povezana tveganja, pri čemer pa se moramo zavedati, da IT tveganja niso zgolj tehnična vprašanja in problematika nekaj strokovnjakov, oddelka ali posamezne službe. 2.6 Globalna informacijska infrastruktura Pod terminom globalna informacijska infrastruktura (ang. Global Information Infrastructure, kratica: GII) je znana iniciativa mednarodne standardizacijske telekomunikacije (ITU-T) za nadaljnji razvoj sedanjih informacijskih organizacije za omrežij. Globalno informacijska infrastruktura (GII) je po obsegu konstantno naraščajoče komunikacijsko omrežje, ki povezuje vse vrste komunikacij in računalniških omrežij po vsem svetu. Omogoča dostopnost do elektronsko hranjene informacije ali prenos elektronske informacije hipotetično iz vsake točke našega planeta. Trenutno internet predstavlja glavno globalno informacijsko infrastrukturo. Informacijsko gledano, je globalna informacijska infrastruktura (GII) konvergenca telefonskih, podatkovnih in radiofuznih omrežij ter storitev in predstavlja enega izmed ključnih elementov uspešnega poslovanja organizacij. GII je temelj informacijske družbe, spreminja način poslovanja pa tudi družbeno življenje, način, kako ljudje komuniciramo med sabo, kako se učimo, delamo, kupujemo, zdravimo, se zabavamo in informiramo. Poleg 16 širitve globalne informacijske infrastrukture je sočasno nujno potrebna tudi primerna raven varnosti informacij. Hiter razvoj novih možnosti informacijsko-komunikacijskih tehnologij, kot je npr. računalništvo v oblaku, zahteva močno osredotočenost na varnost, da bi se lahko v celoti izkoristilo tehnološke dosežke (Bešter in Kos 2009, str. 1). V današnjem svetu organizacije na različnih ravneh (podjetja, vlade, finančne institucije, raziskovalne institucije, šolstvo …) ustvarjajo, izmenjujejo in hranijo velike količine zaupnih informacij, ki so zbrane, obdelane in hranjene na računalniških sistemih (strežniki, podatkovne baze, računalništvo v oblaku …) in prenesene skozi računalniške mreže (internet, interna omrežja …) na druge računalnike (klienti, delovne postaje …). Varovanje zaupnih informacij in podatkov je ne samo poslovna, ampak tudi etična in pravna zahteva. Ker se informacijska varnost dotika tudi zasebnosti posameznika v organizaciji, mora biti to področje ustrezno regulirano in nadzorovano. 3 STANDARDI, MODELI IN ORODJA ZA OBVLADOVANJE TVEGANJ V ORGANIZACIJI 3.1 Organizacija in standardi Organizacijam, ki se srečujejo s področjem ureditve problematike obvladovanja tveganj, so na voljo različni mednarodni standardi, modeli ter različna orodja, in sicer z istim cljem, da organizacijam ob predpisanem in striktnem izvajanju pomagajo k reševanju perečega vprašanja obvladovanja tveganj v organizaciji. Tudi za obravnavano področje IT tveganj obstajajo in se stalno razvijajo in dopolnjujejo različni mednarodni standardi ter veliko število različnih modelov in orodij, ki so večinoma nastali kot posledica dolgoletnih dobrih praks na tem področju. Mednarodna organizacija za standardizacijo ISO (International Organization for Standardization) je usmerjevalec nacionalnih standardov in največji svetovni razvijalec standardov. Standardi so prostovoljna obveza organizacij za njihovo uvedbo in izvajanje ter ne predstavljajo zakonske obveze na ravni regulatornih organov. 17 Pri razvoju, izdaji in ažuriranju mednarodnih standardov sodelujejo različni tehnični odbori, ustanovljeni za posamezna tehnična področja s strani državnih teles, ki so vključena v organizaciji ISO ali IEC. Z uvedbo in upoštevanjem določenih standardov se organizacija obveže k odgovornemu ravnanju na tem področju in s tem pridobi certifikat s strani akreditirane certifikacijske organizacije. Certifikat (dokaz skladnosti) se izda, če so rezultati pregledov pozitivni. Pregledi se izvedejo kot presoje na mestu samem in na vseh ravneh organizacije. Po podelitvi certifikata se v načrtovanih intervalih z rednimi presojami preverja učinkovitost posameznih kontrol in ukrepov kot tudi celovitost in popolnost uvedenih procesov. Poleg standardov, ki so že v celoti predhodno definirani, so organizacijam na voljo še razni modeli, metodologije in orodja, ki nastajajo s strani različnih institucij in so se z leti uporabe v različnih organizacijah po svetu pokazali kot primeri dobre prakse. Organizacije lahko te modele in orodja za ocenjevanje in obvladovanje tveganj v celoti prevzamejo ali pa jih preoblikujejo glede na svojo specifiko okolja in uporabo. 3.2 Standard ISO/IEC 27005 3.2.1 Družina standardov ISO/IEC 27000 Družina standardov ISO/IEC 27000 je skupek standardov, ki pokrivajo področje informacijske varnosti v organizaciji. Standarde v sodelovanju z Mednarodno komisijo za elektrotehniko (IEC) pripravlja, ažurira in objavlja Mednarodna organizacija za standardizacijo (ISO). Danes predstavlja družina standardov ISO/IEC 27000 (tudi 27k) svetovno priznan okvir za najboljše prakse za področje upravljanja informacijske (IT) varnosti. Razlogi, da se organizacije odločijo za uvedbo standardov iz družine ISO/IEC 27000, so naslednji: - Organizacija je podvržena zakonskim zahtevam glede varovanja podatkov in IT sistemov, - Zmanjševanje števila pojavljanj IT varnostnih incidentov, - Zmanjševanje vpliva IT varnostnih tveganj, - Izboljšanje podpore poslovnim procesom s strani IT sistemov, - Zavedanje pomena varovanja podatkov v organizaciji. 18 Namen krovnega standarda ISO/IEC 27001, ki pokriva področje varovanja informacij v organizaciji, je, da sistem varovanja informacij zagotavlja ustrezno zaščito informacij ter računalniških in informacijskih sistemov pred nepooblaščeno uporabo, spremembami, krajo ali uničenjem zaradi napak oziroma namernega škodljivega delovanja posameznikov ali skupin. Cilj standarda ISO/IEC 27001 je zagotavljanje varnega in nepretrganega poslovanja ter omejevanje poslovne škode na sprejemljiv nivo s preprečevanjem in zmanjševanjem učinkov varnostnih incidentov. Navedeni standard je prevzel PDCA (ang. Plan-Do-CheckAct) procesni model pristopa k uvedbi in izvajanju. Standard ISO/IEC 27001 je pisan v obliki zahtev, ki jih morajo organizacije izpolnjevati. Te zahteve pa so v 11 poglavjih v obliki kontrol zapisane v standardu ISO/IEC 27002, ki ponuja nabor možnih ukrepov za nadzor prepoznanih tveganj. Oba standarda sta enovita v smislu informacijske varnosti, kar pomeni, da ne obravnavata le informacijske tehnologije in informacij v elektronski obliki, temveč informacije v vseh možnih oblikah in medijih. Veliko kontrol je povsem organizacijske narave in niso vezane na IT tehnologijo (npr. klasifikacija informacij, politika čiste mize, odnos do zunanjih strank, odgovornost za informacijska sredstva, varovanje človeških virov, varovanje opreme in prostorov …). Omenjena standarda navajamo zaradi dejstva, da se nanju v različnih oblikah naslanjajo tudi ostali, specializirani standardi, ki pokrivajo točno določena IT področja. Naj omenimo, da je bil pred kratkim, oktobra 2013, izdan standard ISO/IEC 27001:2013, ki je revizija do sedaj veljavne verzije ISO/IEC 27001:2005. Standard ISO/IEC 27005 spada v skupino standardov ISO/IEC 27000, ki zajemajo področje informacijske varnosti, opisuje proces upravljanja s tveganji in njegove priporočene aktivnosti, s katerimi organizacija zagotavlja informacijsko varnost v okviru splošnih konceptov, ki jih podaja standard ISO/IEC 27001. Standard ISO/IEC 27005 je poslovodno in od posameznih tehnoloških rešitev neodvisno orodje, ki ponuja celovit pregled upravljanja informacijskih tveganj. Organizacija, ki upravljanje IT tveganj definira glede na standard ISO/IEC 27005, lahko proces aplicira na celotno organizacijo ali samo njen del, lahko zajame vsak IT sistem ali pa ga uporabi pri ostalih kontrolah ali procesih znotraj organizacije. Navedeni standard je uporaben za vse vrste organizacij, od industrijskih, trgovskih, državnih agencij do neprofitnih organizacij. 19 3.2.2 Razvoj in verzije standarda ISO/IEC 27005 Ob vedno večji odvisnosti od informacijskih tehnologij, odprtosti organizacij in povečanju pomena informacij v sodobnem poslovanju je iz potrebe po ureditvi in poenotenju razmer v organizaciji na področju informacijskih tveganj nastal standard za upravljanje informacijskih tveganj ISO/IEC 27005. Standard ISO/IEC 27005 je skozi svoj življenjski cikel doživel izdaje, ki jih prikazuje tabela 3.1. Tabela 3.1: Verzije standarda ISO/IEC 27005 Izdaja Vsebina ISO/IEC 27005:2008 - Začetna verzija standarda; 12 poglavij, 6 aneksov - Usklajen glede na standarda ISO/IEC 27001 in 27002 - Suport, pripomoček za obvladovanje področja IT varnosti (ovrednotenje tveganj) po standardu ISO/IEC 27001 ISO/IEC 27005:2011 - Prečiščena vsebina inicialne verzije - Dodatna uskladitev s standardom ISO/IEC 31000:2011, ki pokriva področje obvladovanja tveganja ter podaja načela in smernice Vir: prirejeno po ISO (2014) Veljavnost standarda, njegovih napotkov in priporočil je splošna, to pomeni, da je primeren za uvedbo tako v podjetjih, javnem sektorju kot v neprofitnih organizacijah, in to ne glede na njihovo velikost. Organizacija, ki pridobi certifikat ISO/IEC 27005, dokaže, da ima urejeno implementacijo, upravljanje in vzdrževanje za področje upravljanja IT varnostnih tveganj. 3.2.3 Povzetek vsebine standarda Zgoraj navedeni standard ISO/IEC 27005:2011 se uporablja v tesni navezi s standardoma ISO/IEC 27001:2013 in 27002:2013, ki se v organizaciji uporabljata kot postopka za upravljanje informacijske varnosti. 20 Z uvedbo in uporabo standarda ISO/IEC 27005 organizacija pridobi na prepoznavanju in zmanjševanju IT varnostnih tveganj na želeno raven. S pridobljenim certifikatom organizacija glede na konkurenco pridobi na izboljšanju poslovnih partnerstev, ker se poveča zaupnost medsebojne izmenjave informacij, kar se lahko izkaže tudi za konkurenčno prednost pri sklepanju novih poslovnih partnerstev. Skupaj z ostalimi standardi skupine ISO/IEC 27k uredi področje obvladovanja procesov varovanja informacij v organizaciji. Standard ISO/IEC 27005 ne predpisuje in ne predlaga uporabe posamezne metode ali orodja za analizo IT tveganj, ampak samo podaja splošna priporočila za analizo in ocenjevanje predhodno definiranih IT tveganj. Osnovna problematika upravljanja IT tveganj, njihovo diagnosticiranje in evidentiranje znotraj standarda niso zajeti. Tudi sama opredelitev do pojma tveganja je v standardu šibko definirana. Standard omeni kvantitativne in kvalitativne metode, vendar jih ne specificira, tako da je posamezni organizaciji prepuščeno, da sama poišče in izbere metodologijo in orodja, ki najbolj ustrezajo njenemu sistemu za upravljanje informacijske varnosti in procesu za upravljanje IT tveganj. Ravno tako je organizacijam prepuščeno, da same opredelijo kriterije tveganj in njihovo ovrednotenje mejnih vrednosti, do koder je raven tveganja sprejemljiva (Jereb in Škornik 2009, str. 9–28). 3.2.4 Aktivnosti procesa po ISO 27005 Standard ISO/IEC 27005 opisuje en proces, ki ga sestavljajo aktivnosti. Aktivnosti vsebujejo dejavnosti (opravila). Pri vsaki aktivnosti so opravila razdeljena v naslednja področja: prispevek (ang. input), ukrep (ang. action), navodila za vpeljavo (ang. implementation guidance), rezultat (ang. output). Upravljanje IT tveganj po standardu ISO/IEC 27005 je definirano s procesom, ki je shematsko prikazan na sliki 3.1. 21 Slika 3.1: Proces pri upravljanju IT tveganj po ISO/IEC 27005 Vir: Škornik (2010, str.4 ) V prvi aktivnosti, ki je opredeljena kot kontekst, določimo okvir informacij o organizaciji, upoštevamo merila in namen obvladovanja tveganj, znotraj katerega zajamemo želeno obravnavo upravljanja tveganj. Znotraj aktivnosti za oceno tveganj, kjer se na koncu ovrednoti nivo tveganja, je predhodno še aktivnost analize tveganj, ki se deli na korak prepoznavanja tveganja in korak določitve okvirne ocene tveganja. Pri prepoznavanju tveganja je ključno, da se določi, kaj lahko povzroči možno izgubo ter kako, kje in zakaj lahko ta izguba nastane. Pri okvirni oceni tveganja se dodeli vrednosti verjetnostim in posledicam za vsako identificirano tveganje. Sledi odločitev o tveganju (kontrolna točka 1), kjer se sprejme odločitev o nadaljevanju ali pa se opisane aktivnosti ponovijo. Tipičen razlog za ponovitev cikla iz kontrolne točke 1 je na primer premalo zbranih in kvalitetnih informacij za obravnavo tveganj. V primeru nadaljevanja sledi aktivnost obravnave tveganja, kjer se sprejmejo odločitve glede ukrepov (tveganje sprejmemo, takšno kot je, tveganje zmanjšamo, 22 tveganje prenesemo na druge, tveganjem se izognemo). Sledi odločitev o rezultatih obravnave tveganja (kontrolna točka 2). V kolikor obravnava tveganja ne zagotovi sprejemljive ravni preostalega tveganja, je potrebno ponoviti enake korake (določanje konteksta, ocenjevanje) kot iz kontrolne točke 1. V praksi se bo pogosto dogodilo, da bo potrebno iz kontrolne točke 2 zgolj ponoviti aktivnost obravnave tveganj na predhodni rezultatov ocene tveganj. Izhod iz kontrolne točke 2 je v aktivnosti sprejetja tveganja, kjer se sprejme odločitve glede sprejetja ukrepov v povezavi s tveganji, hkrati se določijo odgovornosti za identifikacijo tveganj. Znotraj posameznih aktivnosti vseskozi poteka aktivnost obveščanja o tveganjih, preko katere so vključeni deležniki obveščeni glede stanj in statusa tveganj. Aktivnost spremljanja in pregleda tveganj je ravno tako interaktivna in namenjena celostnemu pogledu in vzdrževanju procesa v okviru organizacije. Posebno pozornost moramo posvetiti preostalim tveganjem in tveganjem, ki jih pustimo takšna, kot so in o tem preko aktivnosti obveščanja obvestiti vodstvo organizacije. Od vodstva se pričakuje povratno informacijo glede njihovega strinjanja o tem vprašanju. Standard ISO/IEC 27005 enako kot standard ISO/IEC 27001 zahteva izvedbo po ciklu PDCA. V tabeli 3.2 so pojasnjene aktivnosti pri procesu obvladovanja IT tveganja glede na PDCA cikel izvedbe. Tabela 3.2: PDCA cikel in proces obvladovanja IT tveganj Proces upravljanja IT Aktivnosti pri procesu obvladovanja IT tveganj pri varnosti varovanju informacij Določitev konteksta, ocena tveganja, razvoj načrta za P Plan Načrtuj D Do Stori Vpeljava načrta za obravnavo tveganja C Check Preveri Stalno spreminjanje in pregledovanje tveganj A Act Ukrepaj obravnavo tveganja, sprejetje tveganja Vzdrževanje in izboljševanje procesa obvladovanja tveganja pri varovanju informacij Vir: prirejeno po Škornik (2010, str.5) 23 Uporaba standarda ISO/IEC 27005 prinaša naslednje poslovne koristi organizaciji: urejeno obvladovanje procesov upravljanja informacijskih tveganj, prepoznavanje in zmanjšanje informacijskih tveganj na želeno raven, izboljšanjše uspešnosti izvedbe IT projektov in povečanje konkurenčne prednosti pri poslovanju organizacije. 3.3 3.3.1 Metoda FMEA Korelacija med standardi ISO in metodo FMEA Namen analize načina in posledic napak (ang. Failure Mode and Effects Analysis), oziroma v nadaljevanju metoda FMEA, je izvedba analize produktov in procesov. Z analizo se identificirajo in preprečujejo težave na izdelkih ali procesih, še preden se le-te realizirajo. Analizirani produkti ali procesi so lahko tako s področja industrije, informatike ali organizacije. Metoda je kot preventivni ukrep sestavni del mnogih standardov za doseganje kakovosti, na primer v standardu ISO 9001 znotraj poglavja statistične metode. V organizacijah, kjer je politika kakovosti določena po standardu ISO 9001, mora organizacija v primeru razvoja novega izdelka, njegove izpeljanke, postopkov ali uvedbe novega procesa obvezno uporabiti FMEA metodo. Glede na dejstvo, da standardi družine ISO/IEC 27000 ne navajajo in ne priporočajo nobene izmed specifičnih metod za zmanjševanje tveganj, se lahko analiza FMEA uporabi kot metoda za zmanjševanje tveganj informacijske varnosti v organizaciji. 3.3.2 Predstavitev metode FMEA Metodologija FMEA je izjemno razširjena v proizvodnih organizacijah in je uporabljena v različnih fazah življenjskega cikla proizvodov ali procesov. V zadnjem času se vedno več uporablja tudi na področju storitvenih dejavnostih. Metoda FMEA je ena izmed metod preventivnega zagotavljanja kakovosti. Z njeno pomočjo lahko analiziramo verjetnost nastanka napak in njihov vpliv že v zgodnjih fazah razvojnega in proizvodnega procesa, s čimer je omogočeno čim zgodnejše zviševanje nivoja kakovosti (Šostar 2000, str. 120). 24 Z ustreznimi predhodnimi organizacijskimi ukrepi (podpora vodstva, izvedba izobraževanj, določitev nosilcev izvedbe, priprava dokumentacije …) moramo poskrbeti za uvedbo metodologije v organizacijo, kajti za obravnavani izdelek ali proces moramo z metodo pričeti, še preden se napake sploh pojavijo. Metode za zagotavljanje kakovosti se uporabljajo v zelo širokem obsegu tako v fazi načrtovanja oziroma razvijanja izdelka kot tudi v fazi njegove izdelave. Uporaba se nanaša na več različnih pomembnih elementov pri načrtovanju novih izdelkov in omogoča preverjanje njihove ustreznosti ter morebitnih napak. Cilj metode je zmanjšanje nepredvidenih napak na čim manjšo možno vrednost in s tem omogočanje izdelave izdelkov brez napak (Šostar 2000, str. 112–113). Z metodo FMEA sistematično določamo potencialne napake v razvoju, konstrukciji in proizvodnji. Zaradi tega je mogoče preprečiti nastanek le-teh že na samem začetku. Glede na fazo razvoja izdelka razlikujemo naslednje tri vrste uporabe metode FMEA (sistemska metoda, konstrukcijska metoda in procesna metoda), ki so med sabo povezane in tvorijo skupaj zaključeno celoto. Pri sistemski metodi FMEA se določajo funkcionalnosti posameznih delov glede na celoten sistem in povezave med posameznimi deli. Konstrukcijska metoda FMEA išče morebitne napake pri posameznem delu v procesu konstrukcije, proizvodnje in montaže. Procesna metoda FMEA pa išče potencialne izvore napak v proizvodnem ali storitvenem procesu. 3.3.3 Identificiranje ciljev Prvenstveno je bila metod FMEA mišljena kot pomoč inženirjem za izboljšanje kvalitete in zanesljivosti industrijskih izdelkov v avtomobilski industriji, strojništvu, industriji izdelave polprevodnikov in mikroelektroniki. Z razvojem metode, uporabnostjo, načinom predstavitve rezultatov se je njeno področje uporabe precej razširilo. Cilji metode FMEA so predvsem (Šostar 2000, str. 120): - Čim zgodnejše odkrivanje kritičnih sestavin in šibkih točk, še posebej pri inovativnih izdelkih in postopkih, s prepoznavanjem in lokaliziranjem napak v kompleksnih sistemih, - Ocenjevanje tveganja s pomočjo praktičnih izkušenj in spoznanj v podjetjih, 25 - Zmanjšanje tveganja z ustreznimi ukrepi, - Sistematično delo v strokovnih skupinah, - Izboljšanje preglednosti zgradbe in nastajanja izdelkov, - Določanje odgovornosti za ukrepe izboljšanja kakovosti, zmanjšanje razvojnega časa in nalog, - Optimiranje proizvodne strategije. Glavna naloga metode FMEA je odkrivanje bistvenih napak s čim nižjimi stroški. Za dosego tega cilja je potreben natančno opredeljen, premišljen in strukturiran pristop. Prav tako je pomembno, da je uporaba metode FMEA načrtovanja že pri nastajanju projekta za izdelek, s tem pa je zagotovljen njegov razvoj v predvidenem času ob upoštevanju zahtev kupcev. Zavedati se moramo, da FMEA metoda sama po sebi ne rešuje problemov, ampak zgolj nakaže možne napake, katere moramo odpraviti z različnimi ukrepi (npr. konstrukcijska sprememba, sprememba v delovnem postopku, organizacijski ukrep ...). 3.3.4 Razdelitev tveganj po sorodnostih Pri ocenjevanju tveganj pridemo do velike množice posameznih tveganj, ki pa jih je mogoče združevati glede na njihovo sorodnost. V literaturi je predlagana razdelitev tveganj po naslednjih skupinah (Dobrović 2006, str. 211): - Tveganja, na katera lahko vplivamo, - Tveganja, na katera ni mogoče vplivati, - Prepoznana tveganja, - Skrita tveganja, - Tveganja, ki povzročajo posledice, - Tveganja, ki nimajo posledic, - Tveganja zunanjega okolja, - Tveganja notranjega okolja, - Specifična tveganja. V primeru, da na tveganja lahko vplivamo, to pomeni, da jih lahko nadzorujemo in predvidimo, katere so vse možnosti za njihovo uresničitev. Posledično pomeni, da predvidimo ustrezne ukrepe za zmanjšanje njihovih posledic. Primer takšnih tveganj so na primer tveganja 26 izpolnjevanja pogodbenih obveznosti s strani kupcev in partnerjev, tveganje sprejemanja poslovnih odločitev in podobno. Obstaja skupina tveganj, ki jih lahko identificirano, ampak ni možno preprečiti njihove pojavitve, kot so na primer naravne nesreče, izpadi dobave energentov, strojelomni primeri. Proti takšnim tveganjem se lahko zavarujemo s sklepanjem različnih škodnih zavarovanj, vendar na vzrok tveganja ne moremo vplivati. Takšna tveganja imajo zelo nizko stopnjo verjetnosti odkritja. Prepoznana tveganja predstavljajo vsa tveganja, ki jih je možno identificirati sorazmerno enostavno preko strokovne skupine znotraj organizacije in brez angažiranja zunanjih ekspertov. Skrita tveganja so tista tveganja, ki jih ni mogoče zajeti znotraj predvidenega normalnega delovanja, ampak se pojavijo šele, ko povzročijo neko vrsto spremembe. Takšna tveganja so zelo nevarna, saj njihovo identificiranje vzroka in posledic ni možno pred njihovo realno uresničitvijo. Tveganja, ki povzročajo posledice, predstavljajo vsa tveganja, ki jih FMEA strokovna skupina prepozna in jih upošteva pri analizi. Tveganja, ki nimajo posledic, so vsa tveganja, ki s svojo pojavitvijo ne povzročajo posledic, ki bi jih bilo relevantno upoštevati pri analizi. Tveganja zunanjega okolja predstavljajo tveganja, katerih vzroki nastajajo izven mej organizacije, torej se generirajo iz zunanjega okolja. Pri metodologiji se torej ne sme pozabiti na upoštevanje učinkov zunanjega okolja na aktivnosti organizacije, kot je na npr. tveganje spremembe zakonske regulative ali plačilne zakonodaje. Na ta tveganja po večini nimamo vpliva, ker je njihova uresničitev neodvisna od vodstva organizacije, lahko jih zgolj ocenimo oziroma predvidimo. Tveganja notranjega okolja so tveganja, katerih vzroke je nujno iskati znotraj meja organizacije in so lahko posledica nepopolne organizacijske strukture. Sem spadajo na primer tveganja zdravja in varstva pri delu, varstvo pred požarom in poplavami ter podobno. Specifična tveganja so vezana na posamezne, vsakodnevne aktivnosti in področja v organizaciji, ki ravno tako generirajo svoje specifične grožnje. Sem prištevamo: tržna in 27 poslovna tveganja, tveganja IT varnosti, tveganja nabave in prodaje, tveganja zavarovanj, bančna tveganja in podobno. Razdelitev oziroma karakterizacija tveganj po sorodnostih izvajalcem FMEA metodologije pomaga k lažji in hitrejši izvedbi samega postopka analize obravnavanih IT tveganj. 3.3.5 Proces izvedbe FMEA analize V procesu izvedbe metode FMEA so vsebovani naslednji ključni koraki: - Identifikacija vseh možnih odpovedi produkta ali procesa - Identifikacija tipičnih načinov odpovedi - Analiza posledic posameznih načinov odpovedi - Identificiranje rizikov, ki so posledice načinov odpovedi - Ocena kritičnosti identificiranih načinov odpovedi Prva faza je izvedba temeljitega pregleda obravnavanega izdelka ali procesa. Izvede se identifikacija načinov odpovedi in identifikacija posledic načinov odpovedi, kjer se v splošnem sprašujemo, če se nekaj (napaka, odpoved) pojavi, potem temu sledijo določene posledice. Sledi ključni korak, in sicer identifikacija načinov odpovedi. Za vsak način odpovedi moramo kvantitativno oceniti naslednje kriterije (Šostar 2000, str. 126): - resnost posledic (ang. severity of effects, oznaka S), - pogostost pojavitve (ang. occurence of failures, oznaka O) in - možnost pravočasnega zaznavanja odpovedi (ang. detection of failures, oznaka D). Vsak identificirani način odpovedi kvantitativno ocenimo z ocenami (npr. od 1 do 10) glede na vsak S, O, D kriterij. Zmnožek dodeljenih kriterijev S (Severity), O (Occurence) in D (Detection) daje tako imenovani RPN (ang. Risk Priority Number) faktor. Naredimo klasifikacijsko lestvico odprav vzrokov načina odpovedi glede na vrednosti RPN za vsak način odpovedi. Največjo pozornost strokovna skupina nameni odpravam načina odpovedi, ki so najvišje uvrščene na pridobljeni lestvici. Določijo se ustrezni ukrepi (konstrukcijske rešitve, kontrolni ukrepi, organizacijski ukrepi …) in dodelijo se odgovornosti za izvedbo. Sledi realizacija ukrepov in ponovna iteracija korakov za izračun novih vrednosti RPN in pridobitev nove rangirne lestvice glede na novo stanje. Pridobljeno rangirno lestvico se primerja s predhodno definirano mejno vrednostjo. 28 Ključno vprašanje, ki se pri postopku postavlja, je, ali so obravnavani načini odpovedi, ki so najvišje rangirani, resnično kritični za zanesljivost produkta ali procesa, saj so s tem povezani finančni vložki za njihovo zmanjševanje ali odpravo. Tu vodstvo organizacije računa na znanje in izkušnje strokovne FMEA skupine. Tipično je izvajalec metode skupina s štirimi do osmimi sodelavci, ki prihajajo z različnih področjih znanja, pri čemer mora vodja tima imeti praktične izkušnje z FMEA analizo. Pozorni moramo biti na to, da so udeleženi predstavniki vseh potrebnih oddelkov ter da so člani navajeni skupinskega dela, ker metoda FMEA podpira predvsem intuitivno skupinsko iskanje napak. Vodja tima je odgovoren, da je ekipa zmožna sprejemati kompromise, vzpodbuja generiranje idej in aktivnost ostalih članov tima, vodi tim k cilju pridobitve konkretnih rezultatov in poskrbi za vodenje projektne dokumentacije. 3.3.6 FMEA in obvladovanje tveganj v organizaciji Slika 3.2 prikazuje medsebojne odnose v kompleksnem konceptu upravljanja organizacije. Za učinkovito upravljanje s sistemom kvalitete v organizaciji je potrebno izpolniti dva pogoja, ki služita kot temelj za obsežno področje upravljanja kvalitete. To sta področji upravljanja informacij in upravljanja tveganj. Slika 3.2: Medsebojni odnosi informacija-tveganje-kvaliteta v konceptu upravljanja Upravljanje kvalitete Upravljanje tveganj Upravljanje informacij Vir: prirejeno po Dobrović (2006, str. 213) 29 Metoda FMEA v upravljanju tveganj povezuje vse zgoraj opisane kategorije. V sedanjem trenutku analize, ki jo na primer obravnavamo, daje osnovo za predvidevanje bodočih posledic izvedenih tveganj in definira primerne ukrepe, s katerimi se lahko poveča nivo kvalitete obravnavanega sistema, procesa, proizvoda ali storitve. Uporaba FMEA metodologije se največkrat vodi projektno in ni trajen proces. Pri tem je podobno opredeljena kot projekt. Ima torej svoj časovni razpon trajanja z začetkom in koncem, ima definirano ekipo in vodjo, ima postavljene cilje za dosego (analiza), vseskozi se vodi projektna dokumentacija ter ima odobrena finančna sredstva za izvedbo. Obvladovanje tveganj v organizaciji pa je opredeljeno kot neprekinjen, stalen proces, tako da je potrebno izvesti določene prilagoditve (organizacijski ukrepi, stalni timi, načini poročanja …), da se metoda vključi v proces upravljanja s tveganji. Upoštevati je potrebno tudi, da metoda zahteva FMEA izobraženo osebje, metoda je časovno precej zahtevna ter zahteva odobritev koriščenja človeških in finančnih resursov. 3.4 3.4.1 Metoda Risk IT Združenje ISACA Eno izmed orodij za upravljanje IT tveganj je tudi metodologija Risk IT, katere prva verzija je bila izdana leta 2009 s strani neprofitnega in neodvisnega združenja ISACA (International System Audit and Control Association), ki ima svoje odseke po vsem svetu, tudi v Sloveniji. Poslanstvo ISACA je nudenje znanja, izobraževanja in certifikacij glede zagotavljanja revizij, nadzora in varnosti IT sistemov, s tem povezanimi tveganji, ter vodenja IT oddelkov. 3.4.2 Lastnosti metode Risk IT Metoda definira, da so IT tveganja sestavni del poslovnih tveganj v podjetju in ne samo ena izmed operativnih tveganj. Metodologija je načrtovana za uporabo v vseh tipih organizacij, ki se srečujejo z upravljanjem IT tveganj, možna je tudi tudi samostojna uporaba s strani uporabnikov. 30 Definira tudi prednosti in razloge za vpeljavo metodologije znotraj organizacije z vidika posameznih vlog zaposlenih in poslovnih funkcij. Opredeljene so posamezne vloge in odgovornosti na nivoju posameznika, ki so vključeni v aktivnosti upravljanja IT tveganj. Za evidentiranje tveganj in njihovo ocenjevanje metoda ne definira posebnih orodij, se pa komplementarno dopolnjuje z metodologijama Val IT (upravljanje investicij v IT) in Cob IT (upravljanje IT procesa), ki sta enako izdana s strani ISACA. 3.4.3 Kategorije, lastnosti in deležniki pri upravljanju IT tveganj Metoda opredeli IT tveganja kot tveganje, ki je kot komponenta, povezana z vsemi preostalimi skupinami tveganj v organizaciji. Povezanost in vpliv te komponente sta najbolj odvisna od tega, kakšen vpliv ima IT in s tem povezana tveganja na posamezno skupino tveganj v posamezni organizaciji. IT tveganja tako ne uvršča v hierarhično postavitev, ampak jih definira kot enotno platformo, ki ima večji ali manjši vpliv na ostala tveganja. Slika 3.3 prikazuje takšen primer razdelitve tveganj za primer bolj finančno usmerjene organizacije. Slika 3.3: IT tveganja v hierarhiji tveganj organizacije po Risk IT Vir: ISACA The Risk IT Framework (2009, str. 11) Glede na sliko 3.3 so IT tveganja (ang. IT-related Risk) porazdeljena v posamezne kategorije IT tveganj, ki imajo povezavo z (ISACA 2009, str. 11): - Doseganjem poslovnih vrednosti, ki jih IT podpira (ang. IT benefit/value enablement risk), 31 - IT projekti in IT investicijami (ang. IT programme and project delivery risk), - IT delovanjem, podporo in vzdrževanjem (IT operations, service delivery risk). Odgovorni deležniki (posamezniki, skupine), vpleteni v proces, so stalno odgovorni, da v okviru postavljenega procesa upravljanja tveganj takšna IT tveganja prepoznajo in jih ustrezno vključijo v sistem. Med deležnike se uvrščajo: vodstvo podjetja, vodja finančnega področja, vodja upravljanja tveganja, vodja IT varnosti, vodja IT, IT strokovnjaki, področje zavarovanj, področje regulatorjev in presojevalcev, bonitetne agencije in podobno. Za izvedbo procesa upravljanja IT tveganj metoda predpisuje, da se v okviru organizacije upošteva naslednja načela, ki so prikazana tudi na sliki 3.4 (ISACA 2009, str. 13): - Stalno in dosledno upoštevanje strategije in poslovnih ciljev organizacije, - Usklajenost upravljanja IT tveganj s krovnim upravljanjem tveganj (ERM) v organizaciji, - Uravnoteženje razmerja med stroški in koristmi pri upravljanju IT tveganj, - Vzpodbujanje in vzdrževanje odprte komunikacije glede IT tveganj na različnih ravneh, - Vzpostavitev odgovornosti na nivoju posameznika, definiranje odnosov in odgovornosti, določitev mej tolerance, - Vzpostavitev procesa z definiranimi aktivnostmi na dnevnem nivoju. Slika 3.4: Načela upravljanja IT tveganj po Risk IT Povezava na strategije in poslovnih ciljev organizacije Usklajenost upravljanja IT tveganj s ERM Vzpostavitev procesa s aktivnostmi na dnevnem nivoju Načela upravljanja IT tveganj Uravnoteženje stroški /koristi pri upravljanju IT tveganj Vzpostavitev odgovornosti, določitev mej tolerance Vzpodbujanje in vzdrževanje odprte komunikacije Vir: prirejeno po ISACA The Risk IT Framework (2009, str. 13) 32 3.4.4 Proces izvedbe metodologije Risk IT Za upravljanje IT tveganj metoda predvideva izvajanje devetih procesov, ki so združeni v tri skupine (ISACA 2009, str. 17–31): - Upravljanje IT tveganj (ang. Risk Governance) - Vrednotenje IT tveganj (ang. Risk Evaluation) - Odziv na IT tveganja (ang. Risk Response) Procesi znotraj skupine upravljanja IT tveganj zagotavljajo, da je izvedba upravljanja IT tveganj postavljena znotraj okvirja ERM v organizaciji, da je vzpostavljen in uporabljen enoten pogled na tveganja in da je vzpostavljena povezava s poslovnimi odločitvami glede ukrepanja. V skupini vrednotenja IT tveganj vzpostavimo procese za zbiranje podatkov, izvedbo analize tveganja in poskrbimo za ažurno poročanje v poslovnem okviru. Pri odzivih na IT tveganja poskrbimo s procesi za njihovo upravljanje, za njihovo pravilno posredovanje ostalim akterjem in za zagotovitev učinkovitega odziva. Za vsak proces in definirano vlogo so predpisane odgovornosti in zahteve za sodelovanje v procesu. Na primer: da IT tveganja vplivajo na IT sistem, ki obvladuje e-bančništvo, bo lastnik tega sistema potrdil uspešnost izvajanja potrebnih aktivnosti in ne zgolj tehnično osebje, ki je skrbnik omenjenega sistema. Precejšnji poudarek je podan tudi organizacijski kulturi glede upravljanja tveganj. Metoda glede kulture organizacije loči na (ISACA 2009, str. 22): - Organizacije, ki sprejemajo tveganja. Tu je ključno vprašanje, katera tveganja organizacije prepoznajo in v kolikšni meri jih prevzamejo. Tako lahko organizacije tveganja sprejmejo in se odločijo za proaktivno ukrepanje, lahko pa se tveganjem izogibajo ali celo ignorirajo. - Organizacije, ki temeljijo na sprejemanju predpisov in zakonodaje. - Organizacije, ki sprejemajo negativne rezultate in so zmožne na osnovi negativnih rezultatov (učeča organizacija) problem tako analizirati, da se mu lahko v bodoče izogne. Najpomembnejši postopek je določitev IT tveganj in njihovih atributov. Pri izvedbi ocenjevanja tveganja metodologija ločuje med scenarijem od zgoraj navzdol (angl. topdown), ki je značilen za poslovni vidik, in scenarij od spodaj navzgor (angl. bottom-up), ki 33 podaja generičen pogled, v primeru IT tveganj tehnični vidik. Pri specificiranju scenarijev IT tveganj, njihove pogostosti pojavitve in njihovega vpliva se upoštevajo še faktorji tveganja, ki lahko prihajajo iz notranjega ali zunanjega okolja. Med faktorje tveganja prištevamo še zmogljivost obstoječega procesa upravljanja tveganj, sposobnost IT in raven povezave IT-ja s poslovanjem. Pri odzivih na IT tveganja se določi ključne indikatorje tveganja (vpliv na poslovanje, potrebna vlaganja za uvedbo, spremljanje in poročanje, zanesljivost predvidevanja …). Med parametre, ki narekujejo odločitev, prištevamo ceno uvedbe za izbrani odziv oz. ukrep, pomembnost tveganja, sposobnost za uvedbo, uspešnost ukrepa in učinkovitost ukrepa. Na osnovi pridobljenih indikatorjev se odločimo, kaj naredimo s tveganjem (zmanjšanje, sprejem, izognitev, prenos). V odzivu na tveganja se določijo še prioritete njegove implementacije. Organizacija se lahko odloči za hiter, močan odziv, kar najpogosteje zahteva visoka tveganja, ki imajo lahko veliko potencialno škodo. Organizacija se lahko odloči za izdelavo poslovnega primera, kjer se preko analize določi potreben vložek glede na tveganje in uspešnost odziva. Lahko pa se odloči za odložen odziv v primeru nizkih tveganj. 3.4.5 Povzetek metode Risk IT IT strokovnjaki imajo najpogosteje nalogo upravljanja IT tveganj, vendar v organizaciji najpogosteje niso vpeti v sistem odločanja, kar predstavlja za organizacijo nevarnost podcenjevanja vpliva posledic uresničitve IT tveganj. Uporaba metodologije Risk IT olajša komunikacijo med presojevalci v organizaciji, ki so zadolženi za poslovna tveganja, tehničnim osebjem ki po navadi izvaja aktivnosti, povezane s IT tveganji, ter vodstvom, ki sprejema poslovne odločitve. Metoda podaja boljši pregled nad IT tveganji in njihovimi posledičnimi finančnimi učinki na poslovanje organizacije. 3.5 3.5.1 Metoda NIST SP 800-30 Izdajatelj publikacije The National Institute of Standards and Technology (NIST) je ameriški nacionalni inštitut za standarde in tehnologijo. Je neregulatorska vladna organizacija, katere en del (Computer 34 Security Division) skrbi za računalniško varnost in kot rezultat svojega delovanja razvija standarde, priporočila in usmeritve za povečanje informacijske varnosti. Glavni cilj splošno dostopne publikacije NIST SP 800-30 je organizacijam ponuditi pomoč za izboljšanje upravljanja z IT tveganji. Metoda služi kot napotek za razvoj učinkovitejšega procesa upravljanja IT tveganj in pri tem vsebuje tako definicije kot praktična priporočila in smernice, potrebne za ovrednotenje zmanjšanje tveganj znotraj IT sistemov. NIST je do sedaj izdal naslednje verzije metodologije SP 800-30 za upravljanje IT tveganj: Tabela 3.3: Izdaje verzij metodologije NIST SP 800-30 Verzija Ključna vsebina in spremembe NIST SP 800-30 Metodologija, sestavljena iz 9 korakov. Izdaja: julij 2002 NIST SP 800-30 Rev1 Izvedeni posodobitev vsebine in revizija koncepta. Izdaja: september 2012 Razdelitev upravljanja tveganj na 3 organizacijske nivoje. Proces razdeljen na štiri korake. Vir: prirejeno po NIST (2012) 3.5.2 Lastnosti metode NIST SP 800-3 Pri ovrednotenju tveganj se metodologija osredotoča na priporočila NIST SP 800-39 (zadnja izdaja: marec 2011), ki opredeljujejo organizacijo upravljanja tveganj z vidika vpeljave procesa v organizaciji. Metodologija definira ciljno javnost v organizaciji, ki je zadolžena za vključitev v proces upravljanja tveganj (vodstvo organizacije, lastniki poslovnih procesov, upravljalci tveganj, varnostni inženirji, skrbniki sistemov …). Metodologija je načeloma splošno uporabna za vse vrste organizacij. 3.5.3 Proces izvedbe metodologije NIST SP 800-30 Metodologija NIST SP 800-30 za upravljanje IT tveganj narekuje devet korakov, ki so navedeni v tabeli 3.4 (NIST 2002, str. 8–27): 35 Tabela 3.4: Koraki procesa izvedbe metodologije NIST SP 800-30 Korak Opis aktivnosti 1 Karakterizacija sistema (System Characterization) 2 Identifikacija groženj (Threat identification) 3 Identifikacija ranljivosti (Vulnerability Identification) 4 Analiza kontrole (Control Analysis) 5 Ocena verjetnosti (Likelihood Determination) 6 Analiza vpliva (Impact Analysis) 7 Določitev tveganja (Risk Determination) 8 Priporočila kontrole (Control Recommendation) 9 Dokumentiranje rezultatov (Results Documentation) Vir: Škornik (2010, str.9 ) V začetnem koraku karakterizacije sistema opredelimo obseg (HW in SW komponente sisteme, vmesniki) in meje (umestitev v IT infrastrukuro in okolje) za obravnavani IT sistem. Vključimo vse viri in informacije, ki specificirajo sistem pri vključitvi v IT infrasrtukturo. Pridobimo vso obstoječo dokumentacijo upravljanja IT tveganj na nivoju organizacije, ki je pomembna za obravnavani sistem ali proces. Pomembno je definirati tudi avtorizacijske meje podajanja informacij, tako za sam sistem in sistemske povezave kot za upravitelje sistema. V koraku identifikacij groženj se ocenijo vsi viri groženj, šibke točke sistema, njegove povezave z okolji ter obstoječe kontrole. Cilj tega koraka je pridobitev seznama potencialnih virov groženj in nato njihova opredelitev za obravnavani IT sistem. Pomagamo si z ustrezno strokovno skupino, eksperti za posamezna področja in obstoječo dokumentirano bazo znanja. Sledi korak identifikacije ranljivosti, v katerem je ključna aktivnost pridobitev seznama ranljivosti IT sistema (šibkosti, pomanjkljivosti), katerega bi lahko viri groženj ogrozili. V naslednjem koraku analiziramo vse kontrole, ki so bile za IT sisteme že izvedene ali pa so načrtovane s strani organizacije in imajo za cilj odpravo ali zmanjšanje verjetnosti uresničitve grožnje s seznama ranljivosti. V koraku ocene verjetnosti se pokažejo potencialne ranljivosti, kjer se upošteva: motivacijo in zmožnost vira grožnje, naravno ranljivost, obstoj in učinkovitost sedanjih kontrol. Za izvedbo naslednjega koraka analize vpliva so poleg izhodnih informacij iz korakov 2 in 3 potrebne naslednje še naslednje dodatne informacije: obseg in 36 pomen sistema, kritičnost podatkov in sistema, občutljivost podatkov in sistema. V koraku 7, ocena tveganja, ocenimo stopnjo tveganja obravnavanega IT sistema glede na predhodno določene in predpisane metrike (lestvica obsega groženj, matrika tveganja). V koraku priporočila kontrole se glede na posamezno organizacijo določijo kontrole, ki zmanjšujejo in odpravljajo ugotovljena tveganja. Za vsak IT sistem si pri upravljanju IT tveganj želimo izpolniti cilj, da s pomočjo kontrol zmanjšamo stopnjo tveganja IT sistema in podatkov na sprejemljivo raven. Pri kontrolah se morajo upoštevati naslednji dejavniki: učinkovitost, zakonodaja, stroški, politika organizacij, operativni vpliv na sisteme in zaposlene, varnost, zanesljivost. Dodatno nam pomagajo regulativna priporočila, ki so rezultat procesa ocenjevanja tveganja oziroma dobre prakse s tega področja. Pri regulativnih priporočilih so proceduralne in tehnične varnostne kontrole že ocenjene, ovrednotene in izvedene. Po zaključni oceni IT tveganja (identifikacija virov groženj, identifikacija ranljivosti in šibkih točk, ocena tveganj, priporočitev kontrol) se v zadnjem koraku rezultati dokumentirajo v uradno določeno poročilo s strani organizacije, hkrati se poskrbi za ustrezno hrambo in dostop. Uradno določeno poročilo vsebuje enotno glavo in po možnosti tudi formo, ustrezen način označevanja verzij. Dokument se potrdi in overi s strani ustreznih akterjev (avtor, pregledovalec, presojevalec). 3.5.4 Povzetek metode NIST SP 800-30 Bistveni koraki pri opisani metodologiji so enako kot tudi pri ostalih metodah in orodjih identificiranje, prepoznavanje in ovrednotenje tveganj. Identificirati je potrebno vzroke in na drugi strani posledice, ki onemogočajo izpolnitev zadanih ciljev poslovanja ali projektov. Pri identifikaciji se je potrebno izogibati subjektivnih ocen in čim večjo težo dati objektivnim ocenam, pri čemer nam lahko pomaga obstoječa baza kontrol, ocen in kontrolnih seznamov. Ovrednotenje tveganj je ključni del aktivnosti upravljanja tveganj in posledično vpliva pri sklepanju odločitev in določitvi ukrepov na vseh nivojih organizacije. Ovrednotenje tveganj poteka čez celoten življenjski cikel nekega sistema. Poteka od njegovega začetka pri izbiri materialov in predvidenih tehnologij, preko projektiranja, izvedbe, produkcije do njegove podpore in vzdrževanja. Pri ovrednotenju je priporočljiva uporaba kvantitativnih metod, uporaba vrednosti. Izogibamo se kvalitativnemu vrednotenju in razdelitev na razrede ali celo samo na opise. Ravno tako moramo paziti, da se napačno ne ocenita verjetnost pojava in velikost vpliva tveganja. Še večja napaka je, če tveganje napačno ocenimo kot nepomembno 37 in ga izpustimo ali pa ga zaradi različnih vzrokov (nepoznavanje problematike, napačna subjektivna ocena) sploh ne zaznamo ali prepoznamo. 4 OBVLADOVANJE TVEGANJA NA PRIMERU UVEDBE IT SISTEMA S POMOČJO METODE NIST SP 800-30 4.1 Organizacije in RFID identifikacija Organizacije pri poslovanju v svojih sistemih in aplikacijah za identifikacijo (oseb, živali, blaga, predmetov, izdelkov) pogosto uporabljajo tehnologijo radiofrekvenčne identifikacije (ang. Radio Frequency IDentification, kratica: RFID). Tehnologija zaradi svoje uporabnosti, varnosti in cenovne dostopnosti čedalje bolj izpodriva ostale tehnologije identifikacije, npr. črtno kodo. Organizacije zaradi enostavnosti uporabe in stroškovne upravičenosti izberejo enotno RFID tehnologijo za vse ali za čim več sistemov in aplikacij, ki rabijo RFID identifikacijo v okviru organizacije. Zato morata biti izbira tehnologije in njena uvedba skrbno premišljeni, da se izognemo neželenim nadgradnjam ali predčasnim zamenjavam. Uporaba RFID tehnologije je mednarodno razširjena in daje možnost uporabe v zelo širokem naboru poslovnih področij in v ostalih aspektih življenja. V organizacijah je tipična uporaba v različnih sistemih personalne identifikacije (sistemi evidentiranja, sistemi pristopne kontrole, interna plačila …), zelo veliko se uporablja v logističnih sistemih pri sledenju materiala in izdelkov. V javnem sektorju se uporablja v aplikacijah in storitvah e-uprave (zdravstvena izkaznica, osebna izkaznica, potni list), v sistemih javnega transporta, za različne vrste in načine evidentiranja in podobno. 4.2 Prikaz trenutnega stanja RFID tehnologija temelji na izrabi fizikalnega pojava elektromagnetnega polja, kar se danes zelo razširjeno uporablja za brezkontaktno izmenjavo podatkov za namen identifikacije oseb, predmetov, izdelkov ali živali. RFID tehnologijo, nosilce identifikacije (RFID značke) in protokole za izmenjave podatkov s čitalniki definira mednarodni standard ISO/IEC 14443 38 (Part 1 do Part 4). Navedeni standard določa fizične karakteristike ohišja in dimenzije antene, nosilno frekvenco, signalni vmesnik, način inicializacije in prenosne protokole. V okviru navedenega standarda veliko organizacij uporablja sisteme RFID identifikacije, ki temeljijo na tehnologiji brezkontaktnega prenosa podatkov med RFID značko in čitalnim mestom s 125 kHz nosilno frekvenco. Tipični standardni sistem RFID identifikacije v organizaciji sestavljajo naslednji osnovni gradniki: - RFID značka, - HW oprema za branje in obdelavo RFID prenosa podatkov, - SW oprema RFID sistema. Vse v zvezi z RFID značko predpisuje prej navedeni standard, tako da uporabniku ostane izbira med različnimi RFID tehnologijam in RFID značkami. Tehnologije se med sabo razlikujejo glede na uporabljene nosilne frekvence (125 kHz, 13,56 MHz, 860–960 MHz, 2,4 GHz), različne načine hrambe in izmenjave podatkov in glede vgrajenih varnostnih mehanizmov. RFID značko uporabnik izbere glede na predvideni način uporabe same identifikacije. Najpogosteje se uporabljajo RFID značke v fizični obliki kartic, obeskov, etiket. Izbiro HW opreme za branje (čitalniki, registratorji) in obdelavo (krmilniki, terminali, kontrolerji) dejansko določa predhodno izbrana izbira RFID tehnologije in RFID značke. Čitalniki preko vzpostavljenega nihajnega elektromagnetnega kroga dajo RFID znački potrebno energijo za vzpostavitev komunikacije in s tem omogočijo prenos podatkov. Čitalnik glede na uporabljeno tehnologijo samo bere podatke iz RFID značke ali pa jih lahko bere in zapisuje na značko. RFID čitalniki se preko različnih komunikacijskih načinov povezujejo z ostalo HW opremo (terminali, krmilniki, komunikatorji) v računalniški (strežnik, klient) oziroma informacijski sistem (podatkovne baze, podatkovna polja). Enostavnejše tehnologije RFID identifikacije (npr. tehnologija 125 kHZ) omogočajo zgolj branje podatkov iz RFID značk. V tem primeru je možno samo branje predhodno, tovarniško zapisanega podatka (UID koda), tako da v tem primeru ni potrebe po SW opremi, ki skrbi za upravljanje RFID značk, podatkov in povezanih sistemov. Vsi sistemi, ki uporabljajo RFID identifikacijo, so v tem primeru vezani zgolj na branje te UID kode, ostale izmenjave podatkov ni. 39 Novejše RFID tehnologije (npr. tehnologija 13,56 MHz) omogočajo dvosmerno komunikacijo (zapis / branje) z RFID značko, kreiranje in vključevanje različnih varnostnih mehanizmov ter interaktivno povezavo s povezanimi sistemi, ki uporabljajo RFID identifikacijo. Takšni sistemi zahtevajo upravljanje (programiranje, zapisovanje, določitev profilov) že na strani RFID značk, ki ga obvladujemo z namensko SW opremo. 4.3 Analiza trenutnega stanja V organizacijah je trenutno v identifikacijskih sistemih za identifikacijo oseb najpogostejša uporaba standardne 125 kHz RFID tehnologije in RFID značke v fizičnih dimenzijah tako imenovane »bančne kartice« (ISO/IEC 14443 Part 1, Class 1), tipa EM4100/02. Kartice imajo vpisano enolično tovarniško definirano kodo (UID) v dolžini 64 bitov, ki je namenjena zgolj branju. Kartica nima vgrajenih posebnih varnostnih mehanizmov za podatkovno zaščito, kar pomeni, da je varnostno sporna v pogledu prisluškovanja, kopiranja in emuliranja kartice. Za analizo trenutnega stanja za RFID sistem v organizaciji, ki za identifikacijo uporablja standardno 125 kHz RFID značko, izvedemo SWOT analizo, ki je prikazana na sliki 4.1. Z navedenim orodjem analiziramo prednosti (ang. Strengths), slabosti (ang. Weaknesses), priložnosti (ang. Opportunities) in grožnje (ang. Threats) obravnavane 125 kHz RFID tehnologije. 40 Tabela 4.1: SWOT analiza standardne 125 kHz RFID tehnologije Priožnosti (ang.Opportunities) O - - Cena Enostaven proces vpeljave in upravljanja Večji domet branja (velja za specifične primere, ne splošno) Sprejemljivost uvedbe za organizacije z nizkimi varnostnimi zahtevami W - Pomanjkljivosti (ang. Weaknesses) - - T - Grožnje (ang. Threats) Prednosti (ang. Strengths) S - Zastarela tehnologija Ni uporabe zaščitnih mehanizmov Omejenost zgolj na UID podatek »Read only« kartica Upad števila SW in HW rešitev, ki uporablja in podpira to tehnologijo Ni vgrajenega spomina za aplikacijske podatke Izdelava duplikata kartice (kloniranje) Prisluškovanje RDID komunikaciji Izvedba motenj v RFID komunikaciji Emulacija RFID kartice Prikaz, objava UID številke Poseganje v zasebnost Razkritje internih informacij Vir: Škedelj, lastni prikaz (2014) SWOT analiza pokaže na kritičnost uporabe standardne 125 kHz RFID tehnologije, predvsem z vidika pomanjkljive informacijske IT varnosti, saj je potreben minimalni vložek za izpolnitev varnostnih groženj, ki imajo lahko sorazmerno velike posledice. Naslednja pomanjkljivost je tehnološka zastarelost uporabljene tehnologije, ki ima posledice v omejeni funkcionalnosti za uporabnike. Na trgu je tudi čedalje manj HW (čitalniki, terminali) in SW opreme za sisteme RFID identifikacije s to tehnologijo. Zaradi zastarele tehnologije in neprisotnosti sodobnih varnostnih mehanizmov je posledično veliko tudi groženj. Na tržišču so splošno in cenovno dostopna orodja, s katerimi se enostavno izvede pridobitev podatkov in kopiranje ali emulacija takšne RFID kartice. Avtor v viru (WEE Hon Tan, 2009 ) navaja, da so na trgu splošno in cenovno dosegljiva orodja (npr. Promax3, Touchtag, Crapto1) v izvedbi čitalnikov in pripadajoče SW opreme, ki onesposobijo vgrajene varnostne mehanizme in pridobijo podatke, vpisane na kartici. Ob izpolnitvi in izvedbi teh tveganj so organizaciji razkrite interne informacije, kar lahko 41 predstavlja poslovno škodo (kazni, tožbe, ugotovitev nepravilnosti s strani inšpekcijskih pregledov). Zaključek je, da ima standardna 125 kHz RFID tehnologija občutno več slabosti in nevarnosti kot prednosti in priložnosti. Tehnologija je uporabna zgolj v organizacijah, kjer ni potrebe po večjih varnostnih zahtevah v sistemih in aplikacijah za RFID identifikacijo. V tem primeru organizacija uvede RFID sistem sorazmerno enostavno in z relativno majhnimi stroški. Vsem ostalim, ki v RFID sistemih potrebujejo vsaj minimalni prag IT varnosti, se predlaga uporabo naprednejših 13,56 MHz RFID tehnologij. 4.4 Predstavitev karakteristik obravnavanega IT sistema Kot posledica ugotovitev analize iz predhodnega poglavja morajo organizacije uvajati novejše, tehnološko in varnostno naprednejše RFID tehnologije za identifikacijo oseb. Globalni standardi ISO/IEC 14443 Part1-Part4, ISO/IEC 7816 definirajo tako imenovane »pametne kartice« (angl. contactless smartcards), ki se uporablja kot naziv za brezkontaktno RFID kartico, ki ima podporo kriptografije pri izmenjavi podatkov med kartico in čitalnikom. Blokovni prikaz koncepta pametne kartice RFID tehnologije 13,56 MHz je prikazan na sliki 4.1. Slika 4.1: Blok shema RFID kartice tehnologije 13,56 MHz Vir: NXP (2014) 42 Tehnični opis zasnove takšne kartice ni predmet te naloge, nam pa je takoj razvidno, da zasnova kaže na zgradbo mikroračunalnika (CPU, različne vrste spomina, komunikacijski vmesniki …). Pri RFID kartici tehnologije 13,56 Mhz nas najbolj zanimajo vgrajeni varnostni mehanizmi. Varnostni mehanizmi, ki so vključeni v RFID kartice tehnologije 13,56 MHz, so naslednji (NXP 2014): - diverzikacija varnostnih ključev, - enkripcija podatkov s simetričnimi enkripcijskimi algoritmi tipa 3DES, AES, s ključi dolžine 128 bit, - popolna varnostna skladnost s standardom ISO/IEC 14443 A, - tristopenjska avtentifikacija med kartico in čitalnikom, - HW izvedeno kriptiranje s kripto procesorjem. Poleg navedenih varnostnih mehanizmov kartice omogočajo še naslednje funkcionalnosti, ki se tičejo predvsem upravljanja in izmenjave podatkov med kartico in čitalnikom (povezani sistem, ki uporablja RFID identifikacijo): - razpoložljiv spominski prostor v rangu 1–10 kB, - zapis podatkov na kartico v obliki aplikacij in datotek, - uporabnik (organizacija) sam definira konfiguracijo, zaščito kartice in podatke za izmenjavo. Vpis podatkov na kartico, konfiguracijo profila, izbiro varnostnih mehanizmov, določitev in vpis varnostnih ključev izvede uporabnik s programsko aplikacijo, ki skupaj s strojno opremo in človeškimi viri (skrbniki, operaterji) predstavlja upravljanje sistema RFID identifikacije. Organizacija mora sama poskrbeti za proces upravljanja s pametnimi karticami. V tem procesu morajo biti natančno opredeljeni postopki, ki opredeljujejo celoten življenjski cikel kartice, opredelijo način zapisa in varnost podatkov, opredelijo, kako in v katerih sistemih in aplikacijah se bo kartica uporabljala, definirajo se deležniki in njihove vloge ter vsa potrebna spremljajoča dokumentacija, ki nastaja znotraj procesa. Napredni produkti tehnologije 13,56 MHz RFID kartic na trgu so: Mifare Plus, Mifare DESFire (EV1), Legic Advant, Infineon SLE, SmartMX. 43 Predvidevamo, da se je organizacija odločila za RFID sistem 13,56 Mhz tehnologije. Za sistem se torej pred uvedbo ovrednotijo tveganja z metodologijo NIST SP 800-30. Na osnovi rezultatov analize tveganj se bo organizacija lažje odločila za uvedbo sistema in prišla do zaključkov, kateri ukrepi so potrebni glede upravljanja IT tveganj za obravnavani sistem. 4.5 Identifikacija tveganj, groženj in ranljivosti izbranega IT sistema Izvedba korakov identifikacije tveganj, groženj in ranljivosti, ocena tveganj in razvrščanje po pomembnosti so za obravnavani IT sistem izvedeni s pomočjo analize tveganj. Pri izvedbi navedenih korakov je ključno razumevanje samega IT sistema, ki ga uvajamo in same IT infrastrukture, kamor bo sistem umeščen. Predvidevamo, da je ključna IT infrastruktura (mreža, fizični prostori za namestitev opreme, strežniško okolje, podatkovni sistemi) v organizaciji že postavljena. Prav tako predpostavljamo, da je v organizaciji tudi že predhodno vzpostavljen proces upravljanja s tveganji za IT sisteme, tako da se uporabi standardne vprašalnike in obrazce na nivoju organizacije. Prav tako se prevzame obstoječe klasifikacije za določitev nivojev tveganja (Priloga 2: Tabela A). Sistem ima delovno ime “Sistem RFID identifikacije” in predvideva zamenjavo za obstoječi tehnološko zastarel RFID sistem, ki podpira standardno 125 kHz RFID tehnologijo. Novi sistem predvideva uporabo kartice tehnologije 13,56 MHz (tip: Mifare DESFire EV1), uvedbo pripadajoče strojne opreme in programske opreme, ki služi upravljanju sistema. Sistem bo v organizaciji služil kot podporni sistem za vse aplikacije, ki uporabljajo RFID identifikacijo (evidenca delovnega časa, logistični sistemi v skladiščih, sistem pristopne kontrole, aplikacije internega plačevanja, aplikacije evidence prisotnosti …). Uvedba, uporaba in vzdrževanje sistema predvidevajo koriščenje človeških resursov znotraj organizacije v celotni predvideni življenjski dobi sistema, ki bo predvidoma 10 let. Arhitektura sistema zagotavlja visoko stopnjo zanesljivosti ob zahtevani 99 % razpoložljivost sistema. Sistem omogoča njegovo razširljivost in kasnejše nadgradnje. Slika 4.2. prikazuje blok shemo predvidenega sistema RFID identifikacije, ki je predmet analize IT tveganj. Sistem je zasnovan kot distribuirana strežnik – odjemalec aplikacija s SQL podatkovno bazo, ki se vključi v obstoječo IT infrastrukturo. Sistem je samostojen, centraliziran z enim strežnikom in večimi odjemalci (PC klienti). Preko skupne SQL DB se poveže na ostale aplikacije, ki uporabljajo RFID kartice kot identifikacijo. RFID enkoder 44 (čitalnik in zapisovalnik) se priključi na PC klienta preko USB vrat. Na sistem se kot opcija priključi tiskalnik kartic, ki služi za potisk RFID kartic z dogovorjenimi osebnimi podatki zaposlenega. Te in še vse ostale karakteristike IT sistema (občutljivost podatkov, klasifikacija sistema) zapišemo še v obliki tabele (Priloga 2: Tabela B). Slika 4.2 : Blok shema sistema RFID identifikacije RFID kartice uporaba RFID čitalnik Klient Sistem RFID identifikacije RFID kartice priprava Print kartic HW oprema Aplikacija ki uporablja RFID kartice RFID enkoder RFID kartice potisk LAN Ethernet Sistem RFID identifikacije Server Aplikacija uporabe RFID Server Sistem RFID identifikacije Vir: Škedelj, lastni prikaz (2014) S strani vodstva organizacije se najprej potrdi sodelujoče pri ovrednotenju tveganj in njihove vloge. Vsi posamezniki prihajajo iz same organizacije in so predhodno izobraženi s tega področja. Najprej identificiramo nabor potencialnih groženj za sistem (Priloga 2: Tabela C). Sledi izdelava tabele 4.2 (Priloga 2: Tabela D), kjer so prikazane ranljivosti sistema, ki jih lahko izkoristijo grožnje in s tem povzročijo IT tveganja na obravnavanem sistemu. Identificirajo se tveganja s strani IT sistema, uporabljenih podatkov in same organizacije dela in sistema. 45 Tabela 4.2: Ranljivost, grožnje, tveganja Št. Tveganja Grožnja Ranljivost Vpliv tveganja Tveganje Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Sistem se fizično nahaja samo v enem prostoru. Naravna katastrofa. Razpoložljivost sistema in podatkov. 2 Nedelovanje sistemov tehničnaga varovanja. Odtujitev fizične HW opreme. Razpoložljivost HW opreme in sistema. Požar. Razpoložljivost HW opreme in sistema. 3 Prostor, kjer se nahajajo PCklienti, ni protipožarno varovan. Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izpad električne napetosti. Razpoložljivost sistema in podatkov. 4 Trenutna okvara redudantne UPS naprave za napajanje strežnika. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Poneverba ali napaka zapisa podatkov. Sabotaža ostalega osebja. Celovitost podatkov. 6 Izguba varnostne zaloge RFID kartic. Prekinitev dobave RFID kartic na trgu. Razpoložljivost sistema. Izguba DB podatkov na strežniku. Razpoložljivost sistema. 7 Ni povezave na povezane sisteme, ki uporabljajo RFID identifikacijo. Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Ni možna izmenjava podatkov na povezane sisteme, posledična zmanjšana razpoložljivost sistema. Kraja identitete. Izguba RFID kartice s strani uporabnika. Zaupnost sistema in podatkov. Prisluškovanje RFID komunikaciji. Zlonamerna uporaba ali poseg. Zaupnost podatkov. Izdelava duplikata RFID kartice. Zlonamerna uporaba ali poseg. Zaupnost sistema in podatkov. 1 5 8 9 10 46 Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Št. Tveganja Grožnja Vpliv tveganja Prepoznava in dostop do konfiguracijskega profila. Izguba varnostnih ključev. Celovitost in zaupnost podatkov. Emuliranje RFID kartice. Zlonamerna uporaba ali poseg. Zaupnost podatkov. Ranljivost 11 12 Tveganje Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanšana zaupnost podatkov. Vir: Škedelj, lastni prikaz (2014) Iz nabora identificiranih groženj smo glede na možne ranljivosti sistema RFID identifikacije opredelili 12 groženj, ki lahko imajo ob svoji uresničitvi vpliv na sistem in podatke in s tem predstavljajo tveganja za obravnavani sistem. 4.6 Ukrepi za znižanje tveganosti sistema v celotni življenjski dobi Upravljanje sprememb je ponavljajoč in kontroliran proces, s katerim zajamemo vse spremembe okolja IT sistema za obdelavo informacij. V celotni življenjski dobi sistema ali aplikacije se dogajajo spremembe tako na strojni kot na programski opremi. S procesom upravljanja sprememb na IT sistemu želimo zmanjšati tveganja, ki jih povzročijo spremembe pri obdelavi podatkov, in izboljšati stabilnost in zanesljivost IT sistema. Vsaka sprememba znotraj IT sistema predstavlja tveganje, ki ima lahko različne posledice. Glede na predvideno vrsto sistemskih sprememb (planirana sprememba, redni varnostni popravki, velika sistemska sprememba, sprememba funkcionalnosti …) se najprej zahtevata definiranje zahtev in njihov obseg. Proces upravljanja IT sprememb nadzira za to določen organ, ki ga sestavljajo akterji ključnih poslovnih funkcij v posamezni organizaciji. Striktno in nadzorovano upravljanje procesa upravljanja sprememb in s tem povezani postopki lahko v veliki meri zmanjšajo celotno tveganje, ki se pojavi pri implementiranju sprememb v IT okolje. Proces upravljanja s spremembami IT sistema zajema postopke zahteve, odobritve, načrtovanja, testiranja, časovnega plana realizacije, obveščanje ostalim akterjem, izvedbe, dokumentiranja in končno oceno. 47 Za naš primer uvedbe sistema RFID identifikacije smo glede ukrepov za znižanje tveganj v celotni življenski dobi izvedli naslednji analizi kontrol: - Varnostne kontrole (Priloga 2: Tabela E) Za obravnavani sistem se v tabeli E izvede dokumentiranje IT varnostnih kontrol, ki so že narejene in se izvajajo ter tiste, ki so načrtovane. Varnostne kontrole so lahko predhodno urejene s strani procesov, ki so že vzpostavljeni v organizaciji (proces upravljanja tveganj v organizaciji, proces upravljanja IT tveganj, različne varnostne zaščite in postopki …) ali pa kot planirane kontrole, ki jih moramo še uvesti skupaj s novim sistemom. - Določitev kontrol in ukrepov (Priloga 2: Tabela F) Opredeljenim tveganjem smo določili kontrole in ostale relevantne ukrepe. Pri ukrepih se nismo omejili samo na obravnavani sistem ali področje, ampak smo zajeli ukrepe na nivoju celotne organizacije. 4.7 Plan obvladovanja tveganj Za izbrani sistem RFID identifikacije želimo že pred njegovo uvedbo v organizaciji opredeliti njegova IT tveganja. Najprej izvedemo začetno sistematično ugotavljanje tveganj, ker se izvaja prvič. Da lahko izdelamo plan in priporočila za opredeljena tveganja, moramo predhodno izvesti naslednje korake: - Opredelitev verjetnosti tveganj (Priloga 2: Poglavje 5) Definiranje verjetnosti tveganj (Priloga 2: Tabela G) Podamo definicijo za ocenitev verjetnosti tveganj, ki je presek učinkovitosti vpliva kontrol in verjetnosti pojava groženj ali motiviranosti in zmožnosti uresničitve grožnje. Ovrednotenje verjetnosti tveganj prikazuje tabela 4.3 (Priloga 2: Tabela H). Tabela 4.3: Ovrednotenje verjetnosti tveganj Št. tveganja 1 2 Tveganje Ocenitev verjetnosti tveganj Ocena verjetnosti tveganja Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Strežnik se vključi v obstoječi IT sistem v organizaciji kot virtualni strežnik. Za takšen način postavitve strežnika so že izvedeni vsi potrebni postopki in ukrepi. Učinkovitost kontrol je visoka. Pogostost izgub IT HW opreme je glede na izkušnje redka. Nizko Zaradi odtujitve HW opreme delo operaterjev ni Objekt, v katerem poteka delo operaterjev, Nizko 48 Št. tveganja 3 4 5 6 7 8 9 10 Tveganje Ocenitev verjetnosti tveganj Ocena verjetnosti tveganja mogoče. Finančna škoda. Zmanjšana razpoložljivost sistema. ima vzpostavljene ukrepe tehničnega varovanja (protivlomni sistem, sistem pristopne kontrole) in organizacijske ukrepe (skladišče, sef). Kontrole sistemov za zaščito se izvajajo. Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Objekt trenutno še nima vzpostavljenega sistema protipožarne zaščite, je pa planiran. Ostali ukrepi protipožarne zaščite (gasilniki, požarni red, izobraževanje, pot evakuacije) so izvedeni in kontrolirani. Srednje Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Redundantna naprava brezprekinitvenega napajanja (UPS) je trenutno nedelujoča. Ukrepi v zvezi s tem so izvedeni, popravilo planirano. Sistem je še vedno rezervno napajan iz primarne UPS naprave, kontrole se izvajajo. Srednje Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Poneverba zapisa podatkov ali napaka pri zapisu podatkov je možna s strani človeškega faktorja (operaterji). Izvedeni vsi ukrepi glede izobraževanja operaterjev in internih kontrol. Delo operaterjev nadzorovano s strani vodje oddelka. Nizko Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Možna prekinitev dobave RFID kartic s strani dobavitelja. Trenutno je samo en dobavitelj. Potrebno izvesti postopek izbire za pridobitev alternativnega ponudnika. Varnostna zaloga (količina RFID kartic) se preverja dnevno. Srednje Izmenjava podatkov na povezane sisteme ni možna, posledično zmanjšana razpoložljivost sistema. Izguba povezave med sistemom RFID identifikacije in povezanimi sistemi, ki uporabljajo RFID identifikacijo, ni kritične narave, ker so vsi sistemi vključeni v enoten IT sistem. Skrbniki povezanih sistemov izvajajo potrebne ukrepe, kontrole so učinkovite. Pogostost napak je redka, vplivali bi samo na ažurnost podatkov. Nizko Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Izguba kartice je človeški faktor in ga ne moremo zanemariti. Zaposleni morajo glede na spoštovanje organizacijske kulture vestno uporabljati identifikacijska sredstva in spoštovati hišni red (prijava izgube, kraje). Izvedeni vsi ukrepi (preklic delovanja kartice) in kontrole v zvezi s tem. Pogostost je srednja, ocenjujemo, da še vedno previsoka. Srednje Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Uporabljena tehnologija nudi ustrezno varnostno zaščito. Vsi ostali ukrepi in kontrole so izvedeni. Pogostost pojava tveganja se ocenjuje kot nizko v okviru organizacije. Nizko Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba Uporabljena tehnologija nudi ustrezno varnostno zaščito za preprečitev izdelave duplikatov iz zunanjega okolja. V okviru Nizko 49 Št. tveganja 11 12 Tveganje Ocenitev verjetnosti tveganj Ocena verjetnosti tveganja zaupnosti podatkov in sistema. organizacije so izvedeni ukrepi in sprožene ustrezne kontrole proti izdelavi podvojenih kartic in njihovi uporabi. Ocena za pogostost tveganja je nizka. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Za zaščito konfiguracijskega profila (podatki) in varnosti prenosa podatkov (prenos) uporabljena tehnologija nudi ustrezno zaščito. Izvedeni so ukrepi in zaščite na nivoju standarda in proizvajalca. Motiviranost za uresničitev grožnje lahko ocenimo za srednjo tudi v okviru zunanjega okolja, elementi učinkovitosti kontrol pa so visoki. Nizko Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. Uporabljena tehnologija nudi ustrezno varnostno zaščito. Vsi ostali ukrepi in kontrole so izvedeni. Pogostost pojava tveganja se ocenjuje kot nizka v okviru organizacije. Motiviranost se trenutno ocenjuje z nizko oceno. Nizko Vir: Škedelj, lastni prikaz (2014) Tabela 4.3 podaja oceno verjetnosti tveganja za vsako podano tveganje. Nobeno tveganje ni doseglo ocene visoko, 4 tveganja so pridobila oceno srednje, ostala tveganja pa nizko oceno. - Analiza vpliva (Priloga 2: Poglavje 6) Obrazložitev razdelitve vpliva tveganj (Priloga 2: Tabela I) Tabela podaja oceno vpliva tveganja (visoko, srednje, nizko) glede podane obrazložitve vpliva. Tabela analize vpliva tveganj glede na posamezna tveganja (tabela 4.4) (Priloga 2: Tabela J) 50 Tabela 4.4: Analiza vpliva tveganja Št. tveganja Tveganje Vpliv tveganja Ocena vpliva tveganja Sistem nedelujoč za operativno delo. Na delovanje obstoječih kartic ne vpliva. Na delovanje povezanih sistemov vpliva deloma. Visoko 1 Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Ni možno operativno delo in izdaja novih kartic. Na delovanje obstoječih kartic ne vpliva. Srednje 2 Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic. Zmanjšana celovitost podatkov. Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Ni možna izmenjava podatkov na povezane sisteme, posledično zmanjšana razpoložljivost sistema. Ni možno operativno delo in izdaja novih kartic. Srednje Sistem nedelujoč za operativno delo. Visoko 3 4 5 6 7 Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. 8 9 10 11 12 Izkoriščanje avtoriziranih pravic pod lažno identiteto. Srednje Motena izdelava novih kartic. Srednje Neažurni podatki med sistemom RFID identifikacije in povezanim sistemom. Srednje Izkoriščanje avtoriziranih pravic pod lažno identiteto. Srednje Sistem ne izpolnjuje več predpisanih varnostnih zaščit. Visoko Sistem ne izpolnjuje več predpisanih varnostnih zaščit. Visoko Sistem ne izpolnjuje več predpisanih varnostnih zaščit. Visoko Sistem ne izpolnjuje več predpisanih varnostnih zaščit. Visoko Vir: Škedelj, lastni prikaz (2014) Iz tabele 4.4 izhaja, da je polovica zajetih tveganj dobila visoko oceno za vpliv tveganja, ostala polovica pa oceno srednje. - Določitev tveganja (Priloga 2: poglavje 7) Matrika ocene tveganja (Priloga 2: Tabela K) 51 Tabela predpisuje kriterije, ki so uporabljeni za določitev skupne ocene tveganja. Ocenitev skupnega tveganja za obravnavana tveganja podaja tabela 4.5 (Priloga 2: Tabela L) Tabela 4.5: Ocenitev skupnega tveganja Št. tveganja 1 2 3 4 5 6 7 8 9 10 11 12 Tveganje Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Izmenjava podatkov na povezane sisteme ni možna, posledično zmanjšana razpoložljivost sistema. Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. Ocena verjetnosti tveganja Ocena vpliva tveganja Ocena skupnega tveganja Nizko Visoko Nizko Nizko Srednje Nizko Srednje Srednje Srednje Srednje Visoko Srednje Nizko Srednje Nizko Srednje Srednje Srednje Nizko Srednje Nizko Srednje Srednje Srednje Nizko Visoko Nizko Nizko Visoko Nizko Nizko Visoko Nizko Nizko Visoko Nizko Vir: Škedelj, lastni prikaz (2014) 52 Tabela 4.5 podaja skupno oceno tveganja na podlagi matrike ocene tveganja in tako 4 tveganja dobijo skupno oceno tveganja srednje, 8 tveganj dobi oceno nizko, medtem ko tveganj s skupno oceno visoko ni. Ko imamo skozi opisane predhodne postopke pridobljene vse potrebne ocene, lahko podamo še priporočila za posamezna tveganja, ki jih upoštevamo kot plan. - Priporočila kontrole (Priloga 2: Poglavje 8) Tabela 4.6 definira priporočila kontrole (Priloga 2: Tabela M), ki jih lahko upoštevamo kot plan pri izvajanju ukrepov pri upravljanju s tveganji za obravnavani IT sistem. Tabela 4.6: Priporočila kontrole Št. tveganja 1 2 3 4 5 Tveganje Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Ocena tveganja Priporočila Nizko Ni potrebnih priporočil. Predvideni novi sistem RFID identifikacije se v celoti na standarden, potrjen in preiskušen način uvrsti v obstoječi IT sistem. Posebnosti ni. Nizko Lastnik sistema naj sledi predvidenim in vzpostavljenim ukrepom za tehnično varovanje objekta. Novo zaposleni operaterji morajo biti izobraženi za to področje. Srednje Lastnik sistema naj kontrolira izvedbo planiranega projekta za vzpostavitev protipožarnega varovanja na objektu. Srednje Skrbnik sistema kontrolira izvedbo servisnega popravila glede na predvideni plan. Obveščanje lastnika o izvedbi. Ni posebnih priporočil. Nizko 53 6 7 8 9 10 11 12 Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Ni možna izmenjava podatkov na povezane sisteme, posledično zmanjšana razpoložljivost sistema. Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Srednje Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. Nizko Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Nizko Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Nizko Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Nizko Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Delovna skupina naj takoj prične z iskanjem nadomestnega dobavitelja RFID kartic. Skrbnik sistema izvede pred uvedbo na produkcijo potrebne teste. Ni posebnih priporočil. Nizko Lastnik sistema predlaga način personalizacije kartice s potiskom in predvidi ukrepe za preverjanje. Kontrola spoštovanja hišnega reda. Predlaganje predlogov vodstvu za dvig organizacijske kulture. Srednje Vir: Škedelj, lastni prikaz (2014) Navedena priporočila je potrebno pri uvedbi sistema RFID identifikacije upoštevati in realizirati. Pred zagonom sistema v produkcijo bi bilo priporočljivo ponoviti analizo tveganj za sistem in s tem opredeliti stanje IT tveganj pri vstopu v produkcijo sistema. V operativni dobi delovanja sistema se predvideva ovrednotenje IT tveganj periodično enkrat letno oziroma glede na plan, ki ga definira proces upravljanja tveganj v organizaciji. V primeru večje spremembe na sistemu se mora analiza IT tveganja obvezno izvesti. 54 4.8 Tabela analize tveganj V prilogi (Priloga 2: Poročilo ovrednotenja IT tveganj za sistem RFID identifikacije) je prikazana celotna dokumentacija ovrednotenja IT tveganj za sistem RFID identifikacije v organizaciji po izbrani metodologiji NIST SP 800-30. Časovni zajem opravljene analize je izveden pred samo uvedbo sistema v organizacijo. Priloga zajema analize tveganj za navedeni sistem in obsega 13 samostojnih tabel in končno dokazilo, ki je povzetek vseh rezultatov analize IT tveganj po izbrani metodologiji. Predlog odgovornim deleležnikom v sistemu upravljanja tveganj bi bil, da se za tveganja, ki imajo skupno oceno tveganja srednje, predvidi izvedba predvidenih ukrepov in priporočil. Cilj je, da bi bili ob naslednji izvedbi analize tveganj, se pravi ob zagonu v produkcijskem okolju, vsi ukrepi izvedeni in bi skupno oceno teh tveganj posledično znižali na oceno nizko. Ostala tveganja, ki imajo sedaj skupno oceno nizko, sprejmemo, ker nimajo posebnih priporočil glede ukrepov. 4.9 Predlogi za izboljšanje Glede samega postopka ovrednotenja tveganj in izvedbe analize lahko glede na pridobljene izkušnje predlagamo naslednje predloge za izboljšave: - Uvedba programskih orodij za upravljanje tveganj, - Vzpostavitev učinkovitega sistema dokumentiranja. Oba predloga bi pripomogla k zmanjšanju časa priprave analize. Programske rešitve omogočajo enovito in enostavno upravljanje, pridobijo hitro oceno stanja in stroškov obravnavanih tveganja ter nudijo spremljanje izvajanja potrebnih ukrepov za njihovo zmanjševanje. Takšne rešitve imajo že vgrajen katalog groženj in ranljivosti oziroma ga uporabnik sproti dopolnjuje. Realizacija obeh predlogov bi tudi poenostavila pregled nad vsemi ukrepi, stroški in tveganji, ki jim je organizacija izpostavljena. Glede organizacijskih predlogov lahko predlagamo naslednje predloge: - Uvedba standardov, orodij in metodologij za upravljanje IT tveganj Kot naslednji predlog za izboljšanje bi bil predlog, da se organizacije odločijo za uvedbo in certificiranje standardov iz družine ISO/IEC 27000. Standardi iz te družine imajo končni cilj, ki organizacijo obveže na spoštovanje vseh potrebnih ukrepov in aktivnosti, s katerimi bo 55 poskrbela za zaščito svojih poslovnih podatkov in svojih poslovnih partnerjev, v vseh aspektih poslovanja in ob upoštevanju načela tajnosti in celovitosti. Izbira orodij in metodologije za ovrednotenje tveganj je v celoti prepuščena posamezni organizaciji. S pridobljenimi rezultati naloge lahko potrdimo, da je metodologija NIST 800-30 primerna kot izbira metodologije za upravljanje tveganj. 5 ZAKLJUČEK Tematika raziskovalnega dela je bilo področje upravljanja tveganj v organizaciji s poudarkom na upravljanju IT tveganj. Kot predmet obravnave smo vzeli sodobno, s strani informacijske tehnologije (IT) podprto organizacijo, ki je s svojim poslovanjem vpeta v dinamično in spremenljivo globalno mednarodno okolje. Takšna vpetost v notranje in zunanje okolje organizacijo izpostavlja stalnim spremembam in prilagoditvam na njeni poslovni poti, ki sledi opredeljenim strateškim ciljem in poslanstvu. Vse takšne spremembe za organizacijo pomenijo določena tveganja, bodisi pozitivna ali negativna, in naloga sleherne organizacije je, da ta tveganja prepoznava in upravlja. Zanemarjanje ali celo ignoriranje tveganj ima lahko za organizacijo negativne poslovne izkušnje in poslabšanje njenega trenutnega strateškega položaja. Organizacije morajo poskrbeti za sistematično upravljanje z identificiranimi tveganji, ki mora biti skladno s potrebami, strategijo ter okoljem, v katerem organizacija deluje. Organizacije morajo vzpostavljeni proces upravljanja s tveganji stalno izvajati, kontrolirati in po potrebi ažurirati in dopolnjevati. IT tveganja predstavljajo za organizacijo strateška tveganja, saj s svojo razvejanostjo in vpetostjo stojijo za vsakim pomembnim procesom in funkcijo v organizaciji. V nadaljevanju tudi ugotovimo, da se globalna informacijska infrastruktura nenehno razvija, išče vedno nove in hitrejše poti za izvedbo IT procesov. Najpomembnejši člen IT infrastrukture so podatki, zato je njihovemu prenosu, obdelavi in hrambi namenjena posebna pozornost v smislu zaupnosti, celovitosti in razpoložljivosti. V tretjem poglavju je izvedena predstavitev različnih standardov, metodologij in orodij, s katerimi lahko organizacije uvedejo in vzdržujejo proces upravljanja IT tveganj. Standard ISO/IEC 27005 podaja smernice za uvedbo procesa za upravljanje z IT tveganji v 56 organizaciji, pri tem pa ne specificira lastne metodologije za analizo IT tveganj, katere izbira je prepuščena organizacijam. Da lahko izvedemo potrebno analizo IT tveganj, organizacija glede na svojo specifiko izbere ustrezno metodo ali orodje. Predstavljene so različne metode, pri čemer je metoda FMEA široko uporabljena predvsem v industrijskih organizacijah. Njeno prvotno poslanstvo, kvantitativna evaluacija za potrebe obvladovanja celovite kakovosti, se lahko razširi tudi kot metoda, s katero zmanjšamo tveganja informacijske varnosti. Pri njeni uvedbi moramo biti pozorni, saj zahteva dobro organizirano timsko delo, ki ključno vpliva na hitrost in usklajenost dela. Metodologiji Risk IT in NIST SP 800-30 se lahko implementirata v vsako organizacijo, ne glede na njeno velikost. Podobni sta si glede natančne opredelitve organizacijskih vprašanj in izbire pravilnih taktik za izvedbo analize IT tveganj. Razlika, ki sem jo opazil, je ta, da metoda Risk IT celoviteje podaja predlagano sestavo strokovnega tima, ki je zadolžen za izvedbo posamezne faze. Metodologija po NIST podaja natančno opredelitev posameznih vlog, medtem ko ne podaja sestave tima. V zaključnem poglavju je uspešno izvedena analiza IT tveganj na izbranem sistemu RFID identifikacije po metodologiji NIST. Predhodno smo analizirali obstoječi sistem, ki temelji na RFID tehnologiji starejše generacije (kartice 125 kHz), ki ima, kot smo ugotovili, preveč varnostno spornih vprašanj glede zaščite podatkov, ki se izmenjujejo preko sistemov za RFID identifikacijo. Opravljena SWOT analiza je pokazala veliko pomanjkljivosti in groženj glede varnega prenosa podatkov. Predlagamo, da organizacije izberejo novejše generacije RFID tehnologij, ki jim omogočajo samostojno upravljanje nad uvedbo in uporabo RFID sistema ter varnostjo podatkov. Predlagali smo RFID tehnologijo novejše generacije (kartice 13,56 MHz) in njeno celostno upravljenje znotraj same organizacije. Izvedena analiza tveganja pred samo uvedbo RFID sistema je pokazala, da ni kritično visokih skupnih ocen tveganj glede varnostnih vprašanj za RFID kartice. Določena priporočila in ukrepi se nanašajo na samo operativno delo in prostore, kjer se bo proces predvidoma izvajal. Analiza je tudi pokazala, da se določena priporočila ne nanašajo na direktne ukrepe za izvedbo, ampak jih lahko izpeljemo preko dviga in izboljšanja organizacijske kulture v podjetju. Tu je mišljeno predvsem odgovorno in pravilno rokovanje z RFID značkami znotraj vseh RFID procesov v organizaciji. Uporabljena metodologija po NIST se je izkazala kot primerna za izvedbo analize tveganj obravnavanega IT sistema, saj je podala celostno in kvalitetno oceno glede evidentiranja 57 tveganj, ovrednotenja tveganj in pridobitve ustreznih ukrepov in priporočil za zmanjšanje IT tveganj. Predlog za nadaljnjo raziskovanje je še pridobitev ugotovitev o primernosti rabe tako imenovanih hibridnih kartic, kjer sta v eni kartici združeni brezkontaktna RFID tehnologija in kontaktna PKI tehnologija. Enako bi lahko izvedli analizo IT tveganj še pred uvedbo samega sistema v organizaciji. Končni zaključek bi bil, da RFID tehnologija prinaša organizacijam številne prednosti pri njenem poslovanju, saj zajame zelo široke možnosti področje uporabe. Pri uvedbi in zasnovi RFID tehnologije moramo biti pazljivi, saj tovrstno tehnologijo vgrajujemo za uporabo v daljšem časovnem obdobju. Treba je upoštevati, da le premišljena in skrbno načrtovana zasnova in uporaba RFID tehnologije ne bosta ogrožali delovanja sistemov in procesov z IT tveganji. Analiza IT tveganj, znotraj vzpostavljenega procesa upravljanja tveganj v organizaciji, je ena od koristnih analiz, ki podaja oceno primernosti uvedbe sistema z vidika vprašanja IT tveganj. Za vse organizacije, ne glede na velikost in obliko, je priporočljivo, da uvedejo učinkovit proces obvladovanja tveganj, za katerega so prepričani, da jim bo kljub nastanku in vplivu tveganj omogočal doseganje začrtanih poslovnih ciljev. 58 6 LITERATURA IN VIRI 1. ANDRESS, JASON (2011) The Basics Of Information Security. Oxford: Elservier. 2. ASHENDEN, DEBI in JONES, ANDY (2005) Risk Management for Computer Security. Oxford: Elsevier. 3. BENANTAR, MESSAOUD (2006) Access Control Systems. Austin: Springer. 4. BERK, TOMAŽ, PETERLIN, JOŽKO in RIBARIČ, PETER (2005) Obvladovanje tveganja. Ljubljana: GV Založba. 5. BERNIK, IGOR (2010) Proces upravljanja s tveganji v informacijski varnosti. Maribor: Fakulteta za varnostne vede v Mariboru. 6. BERTONCELJ, ANDREJ, MEŠKO, MAJA, NARALOČNIK, ANDREJ in NASTRAN, BOJAN (2011) Trajnostni razvoj organizacije. Ljubljana: GV Založba. 7. BEŠTER, JANEZ in KOS, ANDREJ (2009) Slovenska informacijska infrastruktura. Dostopno prek: http:// www.ltfe.org/wp-content/uploads/2009/07/AKos2000-SIinformacijska-infrastruktura.pdf (3. 4. 2014). 8. BUKOVEC, BORIS (2005) Sovpadanje temeljnih gradnikov različnih modelov obvladovanja organizacijskih sprememb. Zbornik 24. Mednarodne konference o razvoju organizacijskih znanosti. Portorož, str. 707–714. 9. BUKOVEC, BORIS (2006) Management človeških virov in obvladovanje organizacijskih sprememb. Organizacija, 39 (2), str. 117–123. 10. DeLUCCIA, JAMES (2008) IT Compliance and Controls. New Jersey: Wiley. 11. DOBROVIĆ, TOMISLAV (2006) FMEA metoda u upravljanju rizicima. Zagreb: Regos. 12. ECONOMIST INTELLIGENCE. Best practise in risk management. Dostopno prek: http://www.managementthinking.eiu.com/sites/default/files/eiu_Risk_Management.pd f (11. 1. 2014). 59 60 13. EPSTEIN, J. MARC in BUHOVAC REJC, ADRIANA (2006) The Reporting of Organizational Risks for Internal and External Decision-Making. Dostopno prek: http://www.ef.uni-lj.si/docs/osebnestrani/RiskReporting_Epstein_RejcBuhovac.pdf (24. 3. 2014). 14. FERINGA, ALEXIS, GOGUEN, ALICE in STONEBURNER, GARY. Risk Management Guide for Information Technology Systems. Dostopno prek: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf (6. 2. 2014). 15. HEROLD, REBECCA (2011) The Practical Guide To Managing Risks. Dostopno prek: http://ctcairns.com.au/files/2011/12/managing-risk.pdf (7. 1. 2014). 16. HORJAK, MARJETA. Vpliv varne informacijske tehnologije na ekonomsko uspešnost podjetja. Dostopno prek: http:// www.mfc-2.si/uplodas/news/id32/horjak vpliv varne informacijske tehnologije na ekonomsko uspesnost podjetja.pdf (15. 2. 2014). 17. HUDOKLIN, ALENKA in ROZMAN, VOJAN (2004) Zanesljivost in razpoložljivost sistemov človek-stroj. Kranj: Moderna organizacija. 18. ISACA. Risk IT Framework for Management of IT Related Business Risks. Dostopno prek: http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages Risk-IT1.aspx (14. 2. 2014). 19. ISACA (2009) The Risk IT Framework. Dostopno prek: http:// www.isaca.org/Knowledge-Center/Research/Documents/RiskIT-FW-Excerpt8Jan09.pdf (29. 2. 2014). 20. ISO/IEC 27001:2005 (2005) Information Technology – Security techniques – Information security management systems – Requirements. Ljubljana: Inštitut IZIV. 21. ISO/IEC 27005:2008 (2008) Information Technology – Security techniques – Information security risk management. International organisation for Standardization. Dostopno prek: http://www.iso27001security.com/html/27005.html (29. 2. 2014). 22. ISO. Dostopno prek: http://www.iso.org (20.2.2014). 61 62 23. JEREB, BORUT in ŠKORNIK, MATEJA (2009) Upravljanje informacijskih tveganj po ISO/IEC 27005:2008. 17. mednarodna konferenca o revidiranju in kontroli informacijskih sistemov, Zbornik referatov. Ljubljana: Slovenski inštitut za revizijo, str. 9–28. 24. KOVAČIČ, ANDREJ in BOSILJ VUKŠIĆ, VESNA (2005) Management poslovnih procesov: prenova in informatizacija poslovanja s praktičnimi primeri. Ljubljana: GV Založba. 25. NIST (2002) Nist Special Publication 800-30. National Institute of Standards and Technology. Dostopno prek: http://csrc.nist.gov/publications/nistpubs/800-30/sp80030.pdf (10. 2. 2014). 26. NIST (2012) Nist Special Publication 800-30 Revision 1. National Institute of Standards and Technology. Dostopno prek: http://csrc.nist.gov/publications/nistpubs/ 800-30-rev1/sp800_30_r1.pdf (15. 2. 2014). 27. NXP. Dostopno prek: http://www.nxp.com/applications/access-management/physicalaccess-management.html (15.1.2014). 28. OSWALD, DAVID in PAAR, CHRISTOF (2011) Breaking Mifare DESFire MF3ICD40: Power Analysis and Templates in the Real World. Bochum: RuhrUniversity. Dostopno prek: http://www.iacr.org/workshops/ches/ches2011/ presentations/ Sessions%205/CHES2011_Session%_1.pdf (30. 3. 2014). 29. ŠKORNIK, MATEJA (2010) Upravljanje informacijskih tveganj po NIST SP 800-30. Dnevi slovenske informatike 2010 – DSI, zbornik prispevkov. Ljubljana: Slovensko društvo Informatika. 30. ŠKORNIK, MATEJA in ŠKORNIK, VLADISLAV (2010) Proces upravljanja informacijskih tveganj. Znanje in poslovni izzivi globalizacije v letu 2010: zbornik referatov: 2. mednarodna znanstvena konferenca. Celje: Fakulteta za komercialne in poslovne vede, str. 611–622. 31. ŠOSTAR, ADOLF (2000) Management kakovosti. Maribor: Fakulteta za strojništvo. 63 64 32. URAD ZA NADZOR PRORAČUNA RS (2004) Upravljanje s tveganji in analiza tveganj, Twinning project SI 04/IB/FI/01. Dostopno prek: http:// www.unp.gov.si/ fileadmin/ unp.gov.si/ pageuploads/notranji_nadzor/Upravljanje_ s_tveganji.pdf (3. 3. 2014). 33. WEE, HON, TAN (2009) Practical Attacs on the MIFARE Classic. London: Imperal College, Department of Computing. Dostopno prek: http://doc.ic.ac.uk/~mgv98/ MIFARE_files/report.pdf (27. 3. 2014). 34. WICKHAM, FRANK (2007) A practical Approach to Security Risk Management. ISSA Journal, November 2007, str. 23–26. 35. ŽIVKOVIĆ, SLOBODAN (2009) Primjena metode analize grešaka i njihovih posledica (FMEA) u analizi informaciono bezbjedonosnih rizika: Dostopno prek: http://www.cqm.rs/2009/pdf/36/30.pdf (18. 1. 2014). 65 66 PRILOGI Priloga 1: Preglednica uporabljenih kratic Priloga 2: Poročilo ovrednotenja IT tveganj za sistem RFID identifikacije Priloga 1: Preglednica uporabljenih kratic Kratica Ang.pomen Pomen AES Advanced Encryption Standard enkripcijski algoritem za simetrično šifriranje CIA triada Confidentiality, Integrity, Availability zaupnost, celovitost, razpoložljivost CISA Certified Information Systems Auditor certificiran presojevalec IT sistemov DB DataBase podatkovna baza DES Data Encryption Standard enkripcijski algoritem za simetrično šifriranje ERP Enterprise Risk Management celovito obvladovanje tveganj FMEA Failure Mode and Effects Analysis analiza verjetnosti in vpliva napak GII Global Information Infrastructure globalna informacijska infrastruktura GMP Good Manufactory Praxis dobra proizvodna praksa HW Hardware strojna oprema IKT / informacijska in komunikacijska tehnologija ISACA Information Systems Audit and Control Association mednarodna organizacija za kontrolo in certifikacijo IT sistemov ISO / IEC International Organization for Standardization mednarodna organizacija za standardizacijo IT Information Technology informacijska tehnologija ITU-T / mednarodna standardizacijska organizacija za telekomunikacije NFC Near Field Communication sistem za bližnjo komunikacijo NIST The USA National Institute of Standards and Technology ameriški nacionalni inštitut za standardizacijo in tehnologijo PC Personal Computer osebni računalnik PDCA Plan-Do-Check-Act procesni model NSPU (Načrtuj-StoriPreveri-Ukrepaj) PIN Personal Identification Number osebna identifikacijska koda PKI Public Key Infrastructure infrastruktura javnih ključev RFID Radio Frequency IDentification brezkontaktna radijska identifikacija SQL Structured Query Language strukturirani povpraševalni jezik SW Software programska oprema TQM Total Quality Management celovito upravljanje kakovosti Priloga 2: Poročilo analize tveganj Poročilo ovrednotenja IT tveganj za sistem RFID identifikacije Novo mesto, april 2014 Danilo Škedelj KAZALO POGLAVIJ 1 UVOD 2 KARAKTERISTIKE IT SISTEMA 3 IDENTIFIKACIJA TVEGANJ 4 ANALIZA KONTROL 5 OPREDELITEV VERJETNOSTI TVEGANJ 6 ANALIZA VPLIVA 7 DOLOČITEV TVEGANJA 8 PRIPOROČILA KONTROLE 9 DOKUMENTIRANJE REZULTATOV SEZNAM DOKAZIL DOKAZILO 1: MATRIKA OVREDNOTENJA TVEGANJ SEZNAM SLIK SLIKA 1: BLOK SHEMA SISTEMA RFID IDENTIFIKACIJA SLIKA 2: BLOK SHEMA IZMENJAVE INFORMACIJ V SISTEMU RFID IDENTIFIKACIJE SEZNAM TABEL TABELA A: KLASIFIKACIJA TVEGANJA TABELA B: IT SISTEM – OBSEG IN OPIS TABELA C: IDENTIFICIRANE GROŽNJE TABELA D: RANLJIVOSTI, GROŽNJE, TVEGANJA TABELA E: VARNOSTNE KONTROLE TABELA F: TVEGANJA – KONTROLE - FAKTORJI TABELA G: DEFINIRANJE VERJETNOSTI TVEGANJ TABELA H: OVREDNOTENJE VERJETNOSTI TVEGANJ TABELA I: OBRAZLOŽITEV RAZDELITVE VPLIVA TVEGANJ TABELA J: ANALIZA VPLIVA TVEGANJ TABELA K: MATRIKA OCENE TVEGANJA TABELA L: TABELA OCENITVE SKUPNEGA TVEGANJA TABELA M: PRIPOROČILA KONTROLE 1 UVOD Za IT sistem, ki bo v organizaciji služil kot podporni sistem za vse aplikacije, ki uporabljajo RFID identifikacijo (evidenca delovnega časa, logistični sistemi v skladiščih, sistem pristopne kontrole, aplikacije internega plačevanja, aplikacije evidence prisotnosti …), se pred njegovo uvedbo izvede ovrednotenje IT tveganj. Sistem ima delovno ime “Sistem RFID identifikacije” in predvideva zamenjavo za obstoječi tehnološko zastareli RFID system, ki podpira standardno 125 kHz RFID tehnologijo. Novi sistem predvideva uporabo kartice tehnologije 13,56 MHz (tip: Mifare DESFire EV1), uvedbo pripadajoče strojne opreme in programske opreme, ki služi upravljanju sistema. Sistem se bo uvedlo, uporabljalo in vzdrževalo s človeškimi resursi znotraj organizacije v celotni predvideni življenjski dobi sistema, ki bo predvidoma 10 let. Arhitektura sistema zagotavlja visoko stopnjo zanesljivosti ob zahtevani 99 % razpoložljivosti sistema. Sistem mora omogočati razširljivost in kasnejše nadgradnje. Ovrednotenje tveganj se po uvedbi periodično preverja enkrat na leto oziroma ob vsaki večji spremembi na sistemu. Monitoring pravilnega delovanja, ki lahko kaže na uresničitev groženj, se izvaja na dnevni ravni, s pomočjo programskih orodij ali s pregledi s strani skrbnika. S strani operaterjev na sistemu, ki so predhodno izobraženi, se zahteva proaktivno delovanje v primeru opaženih nestandarnih napak ali sprememb na sistemu. Sodelujoči pri ovrednotenju tveganj in njihove vloge: Manager, odgovoren za upravljanje tveganj na nivoju organizacije; preveritev poročila na nivoju organizacije, preveritev skladnosti glede na uvedeni proces. Manager za korporativno IT varnost; preveritev in potrditev poročila. Vodja IT službe ali področja; preveritev in potrditev poročila na nivoju IT službe. Varnostni IT inženir; pomoč pri pridobitvi informacij, suport pri izvedbi. Lastnik sistema in skrbnik sistema; pridobitev potrebnih informacij, priprava poročila. Vsi navedeni posamezniki, ki imajo navedene vloge, prihajajo iz same organizacije. Glede na potrebo se lahko aktivira še zunanji varnostni ekspert. Uporaba tehnik za izvedbo ovrednotenja tveganj: Predvideva se uporaba standardnih vprašalnikov in obrazcev iz procesa upravljanja tveganj v organizaciji. Izvajalci morajo biti predhodno izobraženi za področja upravljanja tveganj (interni standardni postopki, pravilniki, regulative) na nivoju organizacije. Tabela A: Klasifikacija tveganja Nivo tveganja 2 Opis tveganja in potrebne aktivnosti Visoko Izguba razpoložljivosti, zaupnosti ali celovitosti se lahko odraža v obliki velikih ali katastrofalnih negativnih učinkov na procese, sredstva ali posameznike v organizaciji. Srednje Izguba razpoložljivosti, zaupnosti ali celovitosti se lahko odraža v obliki resnih negativnih učinkih na procese, sredstva ali posameznike v organizaciji. Nizko Izguba razpoložljivosti, zaupnosti ali celovitosti se lahko odraža v obliki omejenih negativnih učinkov na procese, sredstva ali posameznike v organizaciji. KARAKTERISTIKE IT SISTEMA Tabela B: IT Sistem – Obseg in opis IT Sistem: Sistem RFID identifikacije – Obseg in opis I. Identifikacija in lastništvo 1_RFID IT Sistem ID Ime IT Sistema Sistem RFID identifikacije Lastnik “Ime in priimek” Fizična lokacija “Lokacija objekta” Gl. poslovna funk. Omogočanje centralnega upravljanja RFID sistema v organizaciji. Lastnik sistema “Ime in priimek” Skrbnik sistema “Ime in priimek” Lastnik podatkov “Ime in priimek” Skrbnik DB “Ime in priimek” II. Meje in komponente sistema Opis in komponenete Distribuirana client-server aplikacija s SQL DB, ki se vključi v obstoječi sistem strežniške in mrežne IT infrastrukture v organizaciji. Vmesniki HW: RFID USB čitalnik/zapisovalnik, SW: strežnik – instalacija, klient – upravljanje. Povezava ostalih App za RFID preko skupne SQL DB. Meje sistema Agencija ali organizacija “organizacija” “organizacija” Samostojen, centraliziran sistem (1 strežnik, več klientov). Celoten sistem postavljen v okvir obstoječega IT sistema. Povezava ostalih RFID aplikacij v DB za vpis/branje podatkov. RFID kartica: 13,56 MHz Mifare DESFire ev1. III. Predvidene povezave IT sistema RFID identifikacije na ostale sisteme Ime IT sistema ID IT Lastnik IT sistema Status sistema sistema Sistem 2_EDČ “ime in priimek” Produkcija evidence delovnega časa Sistem pristopne 3_PK “ime in priimek” Produkcija kontrole “organizacija” Sistem internega plačevanja 4_IP “ime in priimek” Testiranje “dobavitelj” Sistem logistike izdaje materiala pri dobavitelju 5_LOG “ime in priimek” Planirano IV. IT Sistem in občutljivost podatkov Tip podatkov Ocenitev občutljivosti podatka glede na posamezni parameter informacije Zaupnost Konfiguracijski profil Varnostni ključi Visoka. Razkritje profila oslabi varnost za posamezne povezane RFID aplikacije. Visoka. Razkritje ključev onemogoči funkcijo enkripcije za RFID. RFID memory data Visoka. Zaupnost osebnih podatkov. RFID UID Nizka. UID se ne uporablja v App za RFID. Skupna ocena sistema za občutljivost podatkov in klasifikacijo sistema Celovitost Visoka. Nepopolni podatki delno onemogočijo povezane RFID aplikacije. Visoka. Nepopolen podatek neuporaben za izvedbo varnostne zaščite. Srednja. Nepopolni podatki lahko delno onemogočijo povezane RFID aplikacije. Nizka. Tovarniški zapis podatka. Razpoložljivost Srednja. Ni mogoč zapis konfiguracijskega profila pri izdaji novi kartic. Srednja. Ni mogoč zapis varnostnega ključa, omejena varnost. Srednja. Zastoji pri izdaji novih kartic. Nizka. Se ne uporablja v konfiguracijskem profilu. Skupna ocena občutljivosti podatkov Opomba.: Mora biti podana kot visoka, če je vsaj ena ocena podana kot “visoka”! VISOKA SREDNJA NIZKA Klasifikacija sistema Opomba: Glede na posamezne ocene občutljivosti. OBČUTLJIV NI OBČUTLJIV Na sliki 1 je prikazan opis sistema RFID identifikacije v obliki blok diagrama. Razvidni sta sistemska in mrežna arhitektura z vključitvijo vseh komponent sistema. RFID kartice uporaba Klient Sistem RFID identifikacije RFID čitalnik RFID kartice priprava Print kartic HW oprema Aplikacija ki uporablja RFID kartice RFID enkoder RFID kartice potisk LAN Ethernet Sistem RFID identifikacije Server Sistem RFID identifikacije Server Aplikacija uporabe RFID Slika 1: Blok shema sistema RFID identifikacije Na sliki 2 je prikazana izmenjava informacij med posameznimi sklopi sistema in predvideni vmesniki znotraj sistema RFID identifikacije. Klient Sistem RFID identifikacije RFID kartica USB RFID enkoder Branje podatkov TCP/IP RFID Izmenjava podatkov Vpis podatkov TCP/IP Server Aplikacija uporabe RFID Server Sistem RFID identifikacije Slika 2: Blok shema izmenjave informacij v sistemu RFID identifikacije 3 IDENTIFIKACIJA TVEGANJ Identifikacija ranljivosti Ranljivosti so identificirane s strani strokovne skupine (varnostni inženir, lastnik sistema, skrbnik sistema, tehnično osebje), ki poleg natančne preučitve uporabljenih tehnologij lahko kontaktira še zunanje eksperte in pridobi dodatne informacije. Identifikacija groženj Grožnje so identificirane s strani strokovne skupine (varnostni inženir, lastnik sistema, skrbnik sistema). Kot osnova služi baza znanja glede IT tveganj za sorodne sisteme, nato se preveri ostale možne specifične grožnje za sistem. Upoštevajo se tudi negativne izkušnje s starim stanjem (RFID 125 kHz) za RFID identifikacijo in se jih doda med možne grožnje tudi za novi sistem. V tabeli C so prikazane identificirane grožnje. Tabela C: Identificirane grožnje Naravna katastrofa Nedelujoči sistemi tehničnega varovanja Neavtoriziran dostop Požar Nepooblaščen dostop oseb do IT prostorov Napake pri delu operaterjev Poplava Sabotaža IT osebja Tehnični izpadi HW opreme Previsoka temperatura prostora Sabotaža ostalega osebja Napaka delovanja SW opreme Previsoka vlaga prostora Varnostni incident – prilagajanje dostopnih pravic Izguba DB podatkov na strežniku Izpad električne napetosti Varnostni incident – distribucija zlonamerne SW opreme Izguba sistemskih podatkov na strežniku Odpoved delovanja protipožarnega sistema Prekinitev dobave RFID kartic na trgu Neustrezna varnostna kopija SW opreme Odtujitev fizične HW opreme Odpoved delovanja “Aircondition” naprav Neustrezen zunanji suport Izguba varnostnih ključev Zlonamerna uporaba ali poseg Izguba RFID kartice s strani uporabnika Identifikacija tveganj Tveganja so identificirana s strani strokovne skupine (varnostni inženir, lastnik sistema, skrbnik sistema). Identificirajo se tveganja s strani IT sistema, uporabljenih podatkov in same organizacije procesa dela in sistema. V Tabeli D so prikazane ranljivosti sistema, ki jih lahko izkoristijo grožnje in s tem povzročijo IT tveganja na obravnavanem sistemu. Tabela D: Ranljivosti, grožnje, tveganja Tveganje Št. Grožnja Ranljivost Sistem se fizično nahaja samo v enem prostoru. Naravna katastrofa. Nedelovanje sistemov tehničnega varovanja. Odtujitev fizične HW opreme. Prostor, kjer se nahajajo PC-klienti, ni protipožarno varovan. Požar. Trenutna okvara redudantne UPS naprave za napajanje strežnika. Izpad električne napetosti. Sabotaža ostalega osebja. 5 Poneverba ali napaka zapisa podatkov. 6 Izguba varnostne zaloge RFID kartic. Prekinitev dobave RFID kartic na trgu. Ni povezave na povezane sisteme, ki uporabljajo RFID identifikacijo. Izguba DB podatkov na strežniku. 1 2 3 4 7 Vpliv tveganja Tveganje Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Razpoložljivost HW Ni mogoče delo opreme in sistema. operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Razpoložljivost HW Zakasnjeno ukrepanje opreme in sistema. v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne Razpoložljivost napetosti lahko sistema in povzroči nedelovanje podatkov. strežnika in zmanjša razpoložljivost sistema. Nepravilno oziroma Celovitost neavtorizirano podatkov. delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Začasna prekinitev Razpoložljivost izdelave novih RFID sistema. kartic. Zmanjšana razpoložljivost sistema. Ni možna izmenjava Razpoložljivost podatkov na povezane sistema. sisteme, posledično zmanjšana razpoložljivost sistema. Razpoložljivost sistema in podatkov. Tveganje Št. Ranljivost Grožnja Kraja identitete. Izguba RFID kartice s strani uporabnika. Prisluškovanje RFID komunikaciji. Zlonamerna uporaba ali poseg. Izdelava duplikata RFID kartice. Zlonamerna uporaba ali poseg. Prepoznava in dostop do konfiguracijskega profila. Izguba varnostnih ključev. Emuliranje RFID kartice. Zlonamerna uporaba ali poseg. 8 9 10 11 12 Vpliv tveganja Tveganje Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Razbitje zaščitnega Zaupnost mehanizma prenosa podatkov. podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Neavtorizirano Zaupnost sistema delovanje večjega in podatkov. števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Izguba temeljne Celovitost in zaupnost podatkov. varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Izkoriščanje avtorizacij Zaupnost v RFID sistemih brez podatkov. uporabe ID kartic. Zmanjšana zaupnost podatkov. Zaupnost sistema in podatkov. 4 ANALIZA KONTROL Tabela E dokumentira IT varnostne kontrole, ki so že narejene in se izvajajo ter tiste, ki so načrtovane. Tabela E: Varnostne kontrole Področje kontrole Urejene/ Planirane Opis kontrol 1 Upravljanje tveganj 1.1. IT varnost Vloge in odgovornosti U U U 1. Proces upravljanja tveganj v organizaciji. 2. Proces upravljanja IT tveganj v organizaciji. 3. Proces upravljanja IT procesov. 1.2. Analiza poslovnega vpliva P U 1. Analiza poslovnega vpliva sistema RFID identifikacije. 2. Uporabniške zahteve sistema RFID identifikacije. 1.3. IT Sistem Klasifikacija občutljivosti podatkov U U U 1. Proces upravljanja tveganj v organizaciji. 2. Proces upravljanja IT tveganj v organizaciji. 3. Klasifikacija informacij v organizaciji. 1.4. IT Sistemska oprema U U 1. Proces upravljanja IT procesov. 2. Seznam IT sistemov. 1.5. Ovrednotenje tveganj U U 1. Proces upravljanja tveganj v organizaciji. 2. Proces upravljanja IT tveganj v organizaciji. 1.6. IT Varnostni pregledi U U 1. Proces upravljanja tveganj v organizaciji. 2. Proces upravljanja IT tveganj v organizaciji. 2 IT Planiranje 2.1. Plan neprekinjenega delovanja U U U 1. Neprekinjeno delovanje IT sistemov in procesov. 2. Uporabniške zahteve sistema RFID identifikacije. 3. Funkcionalna specifikacija sistema RFID identifikacije. 2.2. IT postopki v primeru izgube podatkov U P 1. Plan za test obnove podatkov za IT sisteme. 2. Postopek obnove sistema in podatkov za sistem RFID identifikacije. 2.3. IT System & Obnova in restavriranje podatkov U P 1. Proces obnove in restavriranja podatkov za IT sisteme. 2. Postopek načina hranjenja, arhiviranja in obnove podatkov za sistem RFID identifikacije. 3.1. HW IT Sistem U P 1. Standarna IT HW oprema v organizaciji. 2. Programske in strojne specifikacije sistema RFID identifikacije. 3.2. IT Sistem Interoperativna varnost U U 1. Uporabniške zahteve sistema RFID identifikacije. 2. Programske in strojne specifikacije sistema RFID identifikacije. 3.3. Zaščita proti sovražni kodi U 1. Centralna protivirusna zaščita za IT sisteme. 2. Izvedba kontrolnih popravkov za sistemski SW. 3 Varnost IT sistemov Področje kontrole Urejene/ Planirane Opis kontrol 4 Logične dostopne pravice 4.2. Upravljanje gesel U P 4.3. Oddaljeni dostop U 1. Postopek za upravljanje ActiveDirectory na nivoju organizacije. 2. Uporabniške zahteve sistema RFID identifikacije. 1. Postopek urejanja oddaljenih dostopov na nivoju organizacije. 5 Zaščita podatkov 4.4. Zaščita podatkov na medijih U U U 1. Uporabniške zahteve sistema RFID identifikacije. 2. Funkcionalne zahteve sistema RFID identifikacije. 3. Programske in strojne specifikacije sistema RFID identifikacije. 4.5. Enkripcija U U U 1. Uporabniške zahteve sistema RFID identifikacije. 2. Funkcionalne zahteve sistema RFID identifikacije. 3. Programske in strojne specifikacije sistema RFID identifikacije. 6 Varnost objektov 6.1. Varnost objektov U U U 1. Uporabniške zahteve za postavitev sistemskih prostorov. 2. Opis procesov, dela in postopkov v sistemskih prostorih. 3. Ocena ogroženosti objektov. 7 IT zaščita - osebje 7.1. Dostopne pravice in kontrola U U 1. Programske in strojne specifikacije sistema RFID identifikacije. 2. Urejanje in kontrola vlog na IT sistemu. 7.2. IT varnost Opozorila in izobraževanja U P 1. Postopek obveščanja v primeru IT incidentov. 2. Izobraženo osebje glede postopkov in dela v IT službi. 8 Upravljanje groženj 8.1. Identificiranje groženj U U P 1. Proces upravljanja tveganj v organizaciji. 2. Proces upravljanja IT tveganj. 3. Proces upravljanja tveganj za sistem RFID identifikacije. 8.2. Upravljanje IT incidentov U 1. Postopek upravljanj IT incidentov v organizaciji. 8.3. IT varnost Monitor, prijave U U 1. IT sistemi za aktivno spremljanje delovanja IT sistemov in App. 2. Pravilnik urejanja politike prijav v IT sisteme. 9 Upravljanje IT sredstev 9.1. Kontrola IT HW U U 9.2. Upravljanje SW licenc U U U 1. Postopek urejanja področja vključitve IT opreme na mrežno infrastrukturo. 2. Standardna IT HW oprema v organizaciji. 1. Postopek aktivnega preverjenja instalirane SW opreme na računalniški opremi v okviru organizacije. 2. Proces centralnega upravljanja s SW licencami. 3. Standarna IT SW oprema v organizaciji. Področje kontrole 9.3. Upravljanje konfiguracij in kontrol sprememb Urejene/ Planirane U U Opis kontrol 1. Postopek upravljanja konfiguracij IT sistemov v organizaciji. 2. Postopek upravljanja kontrol sprememb v organizaciji. Tabela F prikazuje povezavo med opredeljenimi tveganji (Tabela D ) in varnostnimi kontrolami (Tabela E), skupaj z ostalimi ukrepi za zmanjšanje posameznega tveganja. Tabela F: Tveganja - Kontrole - Faktorji Št. tveganja Tveganje Kontrole in ostali relevantni ukrepi 1 Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. 2 Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. 6.1.1. Uporabniške zahteve za postavitev sistemskih prostorov. 6.1.2. Opis procesov, dela in postopkov v sistemskih prostorih. 3.1.1. Standarna IT HW oprema v org. Ukrep rabe sistemov tehničnega varovanja. 6.1.2. Ocena ogroženosti objektov. 6.1.2. Ocena ogroženosti objektov. Ukrep izvedbe protipožarnega varovanja. 3 4 Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. 6.1.1. Uporabniške zahteve za postavitev sistemskih prostorov. Ukrep izvedbe servisnega posega. 1.2.2. Uporabniške zahteve sistema RFID identifikacije. 7.1.2. Urejanje in kontrola vlog na IT sistemu. 5 Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. 6 Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Ni posebnih kontrol. Izvesti ukrep alternativne nabave. 7 Ni možna izmenjava podatkov na povezane sisteme, posledično zmanjšana razpoložljivost sistema. 3.1.1. Uporabniške zahteve sistema RFID identifikacije. 3.1.2. Programske in strojne specifikacije sistema RFID identifikacije. Ukrep dviga organizacijske kulture. Ukrep spoštovanja hišnega reda. 3.1.1. Uporabniške zahteve sistema RFID identifikacije. Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. 8 9 Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. 4.5.1. Uporabniške zahteve sistema RFID identifikacije. 10 Posledično izguba zaupnosti podatkov. 4.5.2. Funkcionalne zahteve sistema RFID identifikacije. 4.5.3. Programske in strojne zahteve sistema RFID identifikacije. Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. 4.4.1. Uporabniške zahteve sistema RFID identifikacije. 4.4.2. Funkcionalne zahteve sistema RFID identifikacije. 4.4.3. Programske in strojne zahteve sistema RFID identifikacije. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. 4.5.1. Uporabniške zahteve sistema RFID identifikacije. 4.5.2. Funkcionalne zahteve sistema RFID identifikacije. 4.5.3. Programske in strojne zahteve sistema RFID identifikacije. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. 4.4.1. Uporabniške zahteve sistema RFID identifikacije. 4.4.2. Funkcionalne zahteve sistema RFID identifikacije. 4.4.3. Programske in strojne zahteve sistema RFID identifikacije. 11 12 5 OPREDELITEV VERJETNOSTI TVEGANJ Tabela G podaja ocenitev verjetnosti tveganj. Tabela G: Definiranje verjetnosti tveganj Učinkovitost vpliva kontrol Verjetnost pojava groženj (naravne katastrofe, grožnje okolja) ali motiviranost in zmožnost uresničitve grožnje (človeški faktor) Nizko Srednje Visoko Nizko Srednje Visoko Srednje Visoko Visoko Nizko Srednje Visoko Nizko Nizko Srednje Tabela H podaja ovrednotenje verjetnosti tveganj. Oceni se verjetnosti ali motiviranosti, ki vplivajo na verjetnost pojava grožnje in učinkovitost vpliva izvedenih ali planiranih kontrol. Glede na pridobljeni oceni določimo stopnjo verjetnosti tveganja (Tabela G) za vsako tveganje posebej. Tabela H: Ovrednotenje verjetnosti tveganj Risk No. 1 2 3 Tveganje Ocenitev verjetnosti tveganj Ocena verjetnosti tveganja Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Strežnik se vključi v obstoječi IT sistem v organizaciji kot virtualni strežnik. Za takšen način postavitve strežnika so že izvedeni vsi potrebni postopki in ukrepi. Učinkovitost kontrol je visoka. Pogostost izgub IT HW opreme je glede na izkušnje redka. Nizko Zaradi odtujitve HW opreme ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Objekt, v katerem poteka delo operaterjev, ima vzpostavljene ukrepe tehničnega varovanja (protivlomni sistem, sistem pristopne kontrole) in organizacijske ukrepe (skladišče, sef). Kontrole sistemov za zaščito se izvajajo. Nizko Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Objekt trenutno še nima vzpostavljenega sistema protipožarne zaščite, je pa planiran. Ostali ukrepi protipožarne zaščite (gasilniki, požarni red, izobraževanje, pot evakuacije) so izvedeni in kontrolirani. Srednje Risk No. Tveganje Ocenitev verjetnosti tveganj Ocena verjetnosti tveganja Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Redundantna naprava brezprekinitvenega napajanja (UPS) je trenutno nedelujoča. Ukrepi v zvezi s tem so izvedeni, popravilo planirano. Sistem je še vedno rezervno napajan iz primarne UPS naprave, kontrole se izvajajo. Srednje Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Poneverba zapisa podatkov ali napaka pri zapisu podatkov je možna s strani človeškega faktorja (operaterji). Izvedeni vsi ukrepi glede izobraževanja operaterjev in internih kontrol. Delo operaterjev nadzorovano s strani vodje oddelka. Nizko Možna prekinitev dobave RFID kartic s strani dobavitelja. Trenutno je samo en dobavitelj. Potrebno izvesti postopek izbire za pridobitev alternativnega ponudnika. Varnostna zaloga (količina RFID kartic) se preverja dnevno. Srednje 6 Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Izguba povezave med sistemom RFID identifikacije in povezanimi sistemi, ki uporabljajo RFID identifikacijo, ni kritične narave, ker so vsi sistemi vključeni v enoten IT sistem. Skrbniki povezanih sistemov izvajajo potrebne ukrepe, kontrole so učinkovite. Pogostost napak je redka, vplivali bi samo na ažurnost podatkov. Nizko 7 Ni možna izmenjava podatkov na povezane sisteme, posledično zmanjšana razpoložljivost sistema. Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Izguba kartice je človeški faktor in ga ne moremo zanemariti. Zaposleni morajo glede na spoštovanje organizacijske kulture vestno uporabljati identifikacijska sredstva in spoštovati hišni red (prijava izgube, kraje). Izvedeni vsi ukrepi (preklic delovanja kartice) in kontrole v zvezi s tem. Pogostost je srednja, ocenjujemo, da še vedno previsoka. Srednje Uporabljena tehnologija nudi ustrezno varnostno zaščito. Vsi ostali ukrepi in kontrole so izvedeni. Pogostost pojava tveganja se ocenjuje kot nizka v okviru organizacije. Nizko 9 Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. 10 Neavtorizirano delovanje večjega števila RFID Uporabljena tehnologija nudi ustrezno varnostno zaščito za Nizko 4 5 8 Risk No. 11 12 Tveganje Ocenitev verjetnosti tveganj Ocena verjetnosti tveganja kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. preprečitev izdelave duplikatov iz zunanjega okolja. V okviru organizacije so izvedeni ukrepi in sprožene ustrezne kontrole proti izdelavi podvojenih kartic in njihovi uporabi. Ocena za pogostost tveganja je nizka. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Za zaščito konfiguracijskega profila (podatki) in varnosti prenosa podatkov (prenos) uporabljena tehnologija nudi ustrezno zaščito. Izvedeni so ukrepi in zaščite na nivoju standarda in proizvajalca. Motiviranost za uresničitev grožnje lahko ocenimo za srednjo tudi v okviru zunanjega okolja, elementi učinkovitosti kontrol pa so visoki. Nizko Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. Uporabljena tehnologija nudi ustrezno varnostno zaščito. Vsi ostali ukrepi in kontrole so izvedeni. Pogostost pojava tveganja se ocenjuje kot nizka v okviru organizacije. Motiviranost se trenutno ocenjuje z nizko oceno. Nizko 6 ANALIZA VPLIVA Tabela I določa oceno za uvrstitev vpliva tveganj. Tabela I: Obrazložitev razdelitve vpliva tveganj Obrazložitev vpliva Vpliv Visoko Pojavljanje tveganja: se lahko rezultira kot težka delovna nezgoda, kot izguba ključnih sredstev, resursov ali občutljivih podatkov, ali občutno krši, škodi ali ovira poslovanje, poslanstvo ali ugled organizacije. Srednje Pojavljanje tveganja: se lahko rezultira kot nezgoda pri delu, kot stroškovna izguba sredstev ali resursov, ali lahko pomembno krši, škodi ali ovira poslovanje, poslanstvo ali ugled organizacije. Nizko Pojavljanje tveganja: se lahko rezultira kot možna stroškovna izguba nekaterih sredstev ali resursov, ali lahko opazno vpliva na poslovanje, poslanstvo ali ugled organizacije. V Tabeli J so zajeti rezultati analize vpliva tveganj za vsako tveganje posebej (Tabela D) Tabela J: Analiza vpliva tveganj Št. tveganja 1 2 3 4 5 6 7 Tveganje Vpliv tveganja Ocena vpliva tveganja Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Sistem nedelujoč za operativno delo. Na delovanje obstoječih kartic ne vpliva. Na delovanje povezanih sistemov vpliva deloma. Visoko Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Ni možno operativno delo in izdaja novih kartic. Na delovanje obstoječih kartic ne vpliva. Srednje Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Ni možna izmenjava podatkov na povezane sisteme, posledično zmanjšana razpoložljivost sistema. Ni možno operativno delo in izdaja novih kartic. Srednje Sistem nedelujoč za operativno delo. Visoko Izkoriščanje avtorizranih pravic pod lažno identiteto. Srednje Motena izdelava novih kartic. Srednje Neažurni podatki med sistemom RFID identifikacije in povezanim sistemom. Srednje Št. tveganja 8 9 10 11 12 Tveganje Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. Vpliv tveganja Ocena vpliva tveganja Izkoriščanje avtoriziranih pravic pod lažno identiteto. Srednje Sistem ne izpoljuje več predpisanih varnostnih zaščit. Visoko Sistem ne izpolnjuje več predpisanih varnostnih zaščit. Visoko Sistem ne izpolnjuje več predpisanih varnostnih zaščit. Visoko Sistem ne izpolnjuje več predpisanih varnostnih zaščit. Visoko Opis procesov, ki so bili uporabljeni v določitvi ocene vpliva tveganj: - Proces upravljanja tveganj v organizaciji. - Proces delovanja IT sistemov. - Proces IT delovanja sistema RFID identifikacije. - Proces operativnega delovanja sistema RFID identifikacije in vloga operaterjev. - Proces vzpostavitve potrebnih varnostnih zaščit za sistem RFID identifikacije. DOLOČITEV TVEGANJA 7 Tabela K predpisuje kriterije, ki so uporabljeni za določitev skupne ocene tveganja. Tabela K: Matrika ocene tveganja Vpliv tveganja Verjetnost tveganja Nizko (10) Srednje (50) Visoko (100) Visoko (1,0) Nizko 10 x 1,0 = 10 Srednje 50 x 1,0 = 50 Visoko 100 x 1,0 = 100 Srednje (0,5) Nizko 10 x 0,5 = 5 Srednje 50 x 0,5 = 25 Srednje 100 x 0,5 = 50 Nizko (0,1) Nizko Nizko Nizko 10 x 0,1 = 1 50 x 0,1 = 5 100 x 0,1 = 10 Razpon ocen tveganj: Nizko (1–10); Srednje (> 10–50); Visoko (> 50–100) Tabela L podaja oceno za skupno oceno tveganja na podlagi matrike iz tabele K. Tabela L: Tabela ocenitve skupnega tveganja Št. tveganja 1 2 3 4 5 6 7 Tveganje Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Ni možna izmenjava podatkov na povezane sisteme, posledično zmanjšana razpoložljivost sistema. Ocena verjetnosti tveganja Ocena vpliva tveganja Ocena skupnega tveganja Nizko Visoko Nizko Nizko Srednje Nizko Srednje Srednje Srednje Srednje Visoko Srednje Nizko Srednje Nizko Srednje Srednje Srednje Nizko Srednje Nizko Št. tveganja 8 9 10 11 12 Tveganje Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. Ocena verjetnosti tveganja Ocena vpliva tveganja Ocena skupnega tveganja Srednje Srednje Srednje Nizko Visoko Nizko Nizko Visoko Nizko Nizko Visoko Nizko Nizko Visoko Nizko Opis procesov, ki so bili uporabljeni v določitvi skupne ocene tveganj: . Proces upravljanja tveganj v organizaciji. - Proces IT delovanja sistema RFID identifikacije. - Proces operativnega delovanja sistema RFID identifikacije in vloga operaterjev. - Proces vzpostavitve potrebnih varnostnih zaščit za sistem RFID identifikacije. - Proces sistema za zagotavljanje električne energije sistemskim prostorom. - Proces zagotavljanja varnih in primernih pogojev za delo. - Proces varovanja pred požarom v organizaciji. PRIPOROČILA KONTROLE 8 Tabela M definira priporočila kontrole za opredeljena tveganja (Tabela D). Tabela M: Priporočila kontrole Št. tveganja 1 2 3 4 5 6 7 Tveganje Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Ni možna izmenjava podatkov na povezane sisteme, posledično zmanjšana razpoložljivost sistema. Ocena tveganja Priporočila Nizko Ni potrebnih priporočil. Predvideni novi sistem RFID identifikacije se v celoti na standarden, potrjen in preiskušen način uvrsti v obstoječi IT sistem. Posebnosti ni. Nizko Lastnik sistema naj sledi predvidenim in vzpostavljenim ukrepom za tehnično varovanje objekta. Novo zaposleni operaterji morajo biti izobraženi za to področje. Srednje Lastnik sistema naj kontrolira izvedbo planiranega projekta za vzpostavitev protipožarnega varovanja na objektu. Srednje Skrbnik sistema kontrolira izvedbo servisnega popravila glede na predvideni plan. Obveščanje lastnika o izvedbi. Nizko Srednje Nizko Ni posebnih priporočil. Delovna skupina naj takoj prične z iskanjem nadomestnega dobavitelja RFID kartic. Skrbnik sistema izvede pred uvedbo na produkcijo potrebne teste. Ni posebnih priporočil. 8 9 10 11 12 Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Srednje Lastnik sistema predlaga način personalizacije kartice s potiskom in predvidi ukrepe za preverjanje. Kontrola spoštovanja hišnega reda. Predlaganje predlogov vodstvu za dvig organizacijske kulture. Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. Nizko Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Nizko Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Nizko Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Nizko Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. 9 DOKUMENTIRANJE REZULTATOV Dokazilo 1: Matrika ovrednotenja tveganj Št. tveganja Grožnja Vpliv tveganja Sistem se fizično nahaja samo v enem prostoru. Naravna katastrofa. Razpoložljivost sistema in podatkov. Nedelovanje sistemov tehničnega varovanja. Odtujitev fizične HW opreme. Razpoložljivost HW opreme in sistema. Prostor, kjer se nahajajo PCklienti, ni protipožarno varovan. Požar. Razpoložljivost HW opreme in sistema. Trenutna okvara redudantne UPS naprave za napajanje strežnika. Izpad elektr. napetost. Razpoložljivost sistema in podatkov. Ranljivost 1 2 3 4 Ocena verjetnosti tveganja Ocena vpliva tveganja Skupna ocena tveganja Izguba delujočega strežnika. Ni možna izdelava novih RFID značk. Izguba razpoložljivosti sistema in podatkov. Ni mogoče delo operaterjev. Finančna škoda. Zmanjšana razpoložljivost sistema. Nizko Visoko Nizko 6.1.1. Uporabniške zahteve za postavitev sistemskih prostorov. 6.1.2. Opis procesov, dela in postopkov v sistemskih prostorih. Ni potrebnih priporočil. Predvideni novi sistem RFID identifikacije se v celoti na standarden, potrjen in preiskušen način uvrsti v obstoječi IT sistem. Posebnosti ni. Nizko Srednje Nizko 3.1.1. Standarna IT HW oprema v organizaciji. Ukrep rabe sistemov tehničnega varovanja. 6.1.2. Ocena ogroženosti objektov. Lastnik sistema naj sledi predvidenim in vzpostavljenim ukrepom za tehnično varovanje objekta. Novo zaposleni operaterji morajo biti izobraženi za to področje. Zakasnjeno ukrepanje v primeru požara. Ogroženi zaposleni in oprema. Posledično zmanjšana razpoložljivost sistema. Izguba napajalne napetosti lahko povzroči nedelovanje strežnika in zmanjša razpoložljivost sistema. Srednje Srednje Srednje 6.1.2. Ocena ogroženosti objektov. Ukrep izvedbe protipožarnega varovanja. Lastnik sistema naj kontrolira izvedbo planiranega projekta za vzpostavitev protipožarnega varovanja na objektu. Srednje Visoko Srednje 6.1.1. Uporabniške zahteve za postavitev sistemskih prostorov. Ukrep izvedbe servisnega posega. Skrbnik sistema kontrolira izvedbo servisnega popravila glede na predvideni plan. Obveščanje lastnika o izvedbi. Tveganje Analiza kontrol in ostalih faktorjev Priporočila Poneverba ali napaka zapisa podatkov. Sabotaža ostalega osebja. Celovitost podatkov. Izguba varnostne zaloge RFID kartic. Prekinite v dobave RFID kartic na trgu. Razpoložljivost sistema. Ni povezave na povezane sisteme, ki uporabljajo RFID identifikacijo. Izguba DB podatkov na strežniku Razpoložljivost sistema. Kraja identitete. Izguba RFID kartice s strani uporabni ka. Zaupnost sistema in podatkov. Zlonamer na uporaba ali poseg. Zaupnost podatkov. 5 6 7 8 Prisluškovanje RFID komunikaciji. 9 Nepravilno oziroma neavtorizirano delovanje določenih RFID kartic.Zmanjšana celovitost podatkov. Začasna prekinitev izdelave novih RFID kartic. Zmanjšana razpoložljivost sistema. Ni možna izmenjava podatkov na povezane sisteme, posledično zmanjšana razpoložljivost sistema. Izkoriščanje avtorizacij v RFID sistemih. Zmanjšana zaupnost sistema in podatkov. Razbitje zaščitnega mehanizma prenosa podatkov med kartico in čitalnikom. Posledično izguba zaupnosti podatkov. Nizko Srednje Nizko 1.2.2. Uporabniške zahteve sistema RFID identifikacije. 7.1.2. Urejanje in kontrola vlog na IT sistemu. Ni posebnih priporočil. Srednje Srednje Srednje Ni posebnih kontrol. Izvesti ukrep alternativne nabave. Delovna skupina naj takoj prične z iskanjem nadomestnega dobavitelja RFID kartic. Skrbnik sistema izvede pred uvedbo na produkcijo potrebne teste. Nizko Srednje Nizko 3.1.1. Uporabniške zahteve sistema RFID identifikacije. 3.1.2. Programska specifikacija sistema RFID identifikacije. Ni posebnih priporočil. Srednje Srednje Srednje Ukrep dviga organizacijske kulture. Lastnik sistema predlaga način personalizacije kartice s potiskom in predvidi ukrepe za preverjanje. Kontrola spoštovanja hišnega reda. Predlaganje predlogov vodstvu za dvig organizacijske kulture. Ukrep spoštovanja hišnega reda. 3.1.1. Uporabniške zahteve sistema RFID identifikacije. Nizko Visoko Nizko 4.5.1. Uporabniške zahteve sistema RFID identifikacije. 4.5.2. Funkcionalne zahteve sistema RFID identifikacije. 4.5.3. Programske in strojne zahteve sistema RFID identifikacije. Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Izdelava duplikata RFID kartice. Zlonamer na uporaba ali poseg. Zaupnost sistema in podatkov. Prepoznava in dostop do konfiguracijske ga profila. Izguba varnostni h ključev. Celovitost in zaupnost podatkov. Emuliranje RFID kartice. Zlonamer na uporaba ali poseg. Zaupnost podatkov. 10 11 12 Neavtorizirano delovanje večjega števila RFID kartic v aplikacijah za RFID identifikacijo. Izguba zaupnosti podatkov in sistema. Izguba temeljne varnostne zaščite sistema. Izguba celovitosti in zaupnosti podatkov ter sistema. Nizko Visoko Nizko 4.4.1. Uporabniške zahteve sistema RFID identifikacije. 4.4.2. Funkcionalne zahteve sistema RFID identifikacije. 4.4.3. Programske in strojne zahteve sistema RFID identifikacije. Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Nizko Visoko Nizko 4.5.1. Uporabniške zahteve sistema RFID identifikacije. 4.5.2. Funkcionalne zahteve sistema RFID identifikacije. 4.5.3. Programske in strojne zahteve sistema RFID identifikacije. Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij. Izkoriščanje avtorizacij v RFID sistemih brez uporabe ID kartic. Zmanjšana zaupnost podatkov. Nizko Visoko Nizko 4.4.1. Uporabniške zahteve sistema RFID identifikacije. 4.4.2. Funkcionalne zahteve sistema RFID identifikacije. 4.4.3. Programske in strojne zahteve sistema RFID identifikacije. Skrbnik sistema stalno seznanjen z novostmi in statusom obstoječih RFID tehnologij.
© Copyright 2024